今年夏天，Zendesk 通过漏洞赏金计划发现了一个漏洞，并与研究人员合作解决了该漏洞。没有证据表明此漏洞已被不良行为利用。正如研究人员在公开帖子中分享的那样，他们提出的具体问题已得到解决，但我们有必要澄清一下到底发生了什么。此“供应链”漏洞是一类不良行为者可能尝试利用互联系统来破坏组织的漏洞。该漏洞反映了许多公司由于现代商业工具的链接方式而面临的安全风险。

虽然此特定问题已解决，但为进一步防范类似和重复的利用尝试，我们建议企业实施围绕用户验证的 最佳实践 ，包括采用两步用户/身份验证、支持电邮使用子域名（例如 contact@support.support）。 example.com），并确保处理敏感信息的第三方系统受到适当保护。

我们还要解决与此个案相关的错误悬赏计划。尽管研究人员最初确实通过我们的既定流程提交了漏洞，但他们在进行修复之前就相关报告直接联系第三方，违反了关键道德原则。这违反了错误赏金服务条款。该条款是行业标准，旨在保护白帽社区，同时支持负责任的披露。这一违反信任的行为已导致其奖励被没收，因为我们对负责任的披露有着严格的标准。