Talkspace要就错误报告起诉安全研究人员

一位安全研究人员说，在公司拒绝了他的调查结果并向研究人员发出了法律威胁后，他被迫记下了一篇博客文章，其中描述了Talkpace网站上一个明显的错误，给了他一年的免费订阅。

约翰·杰克逊(John Jackson)表示，他能够注册Talkpace这一受欢迎的治疗应用程序，就好像他是一家医疗保险计划涵盖Talkpace服务的公司的员工一样。 其中一些注册链接在谷歌搜索结果中找到，其中一些没有在该公司的网站上发布广告。

但杰克逊说，他几乎没有发现任何证据表明注册页面可以证明用户有资格免费订阅一年。

杰克逊通过建立一个账户来验证他的理论。 一个月后，账户仍然活跃，他说。

杰克逊的案例只是安全研究人员因其工作面临法律威胁的最新例子。 几个月前，航空航天安全研究人员克里斯·库贝卡(ChrisKubecka)表示，她在飞机上发现了一个安全问题后，受到波音公司的威胁。 两名安全研究人员去年也被起诉，声称他们超越了他们在爱荷华州法院的渗透测试极限。 这个案子后来被撤销了。

talkpace不能为安全研究人员提供提交错误的方法。 在TechCrunch的帮助下，研究人员联系了Talkpace，警告潜在的错误，担心恶意黑客或用户可能滥用系统并声称免费治疗。 但该公司拒绝了这一说法，告诉杰克逊，它“有多个内部程序来保护免受虐待”，但没有提供具体细节。

在杰克逊在他的博客上发表他的研究结果——TechCrunch已经看到了——几个小时后，Talkpace向杰克逊发出了一封停止和停止的信，指责研究人员在他的博客文章中“散布谎言”来诽谤Talkpace。

“在任何情况下，Talkpace都不会向企业合作伙伴收取费用，也不会向未被该合作伙伴视为符合条件的用户提供服务的健康计划收取费用。

“这封信是一封正式通知，要求停止和停止，并立即撤回这些声明，澄清你公然和破坏性的错误陈述，”信中说。 “不这样做将导致进一步和立即的法律行动。

Talkpace的首席技术官Gil Margolin说，当达成协议时，Talkpace不会在记录上说明其反欺诈机制是什么，或者发现了多少欺诈事件，而只会说注册计划是“根据每个合作伙伴的个人目标与他们合作设计的”。

我们已经发表了停止和停止信。 这封信没有提到杰克逊在博客上的技术声明。

当达成协议时，Talkpace发言人乔安娜·迪·图利奥(Jo Anna Di Tullio)推迟了对雷利的评论，雷利重复了他信中的说法，称该公司“非常清楚我们如何构建雇主关系和确保获得服务的资格”，并将杰克逊的博客帖子描述为“纯粹的诽谤”和“完全不真实”。

如今，许多公司通过提供bug报告程序来接受安全研究人员，这些程序奖励或支付研究人员发现安全缺陷和其他可能被恶意黑客未报告和利用的bug。

其他公司，如Dropbox、Mozilla和Tesla，更进一步地提供了“安全港”条款，承诺不对真诚行事的研究人员采取法律行动。