Apple ประกาศขยายรางวัล Bug Bounty ขึ้นเป็น 1 ล้านเหรียญ ผู้เชี่ยวชาญกังวลถึงผลกระทบในอนาคต

ในงาน Black Hat Conference ครั้งล่าสุดนี้ ทาง Apple ได้ออกมาประกาศเพิ่มรางวัลสำหรับโครงการ Bug Bounty ให้มีมูลค่าสูงสุดถึง 1 ล้านเหรียญหรือราวๆ 30 ล้านบาทแล้ว โดยช่องโหว่นั้นๆ จะต้องเป็นช่องโหว่ที่ทำให้เกิดการโจมตีแบบ Zero-Click, Full Chain Kernel Code Execution ได้

Credit: ShutterStock.com

เดิมทีในโครงการ Bug Bounty นั้น Apple มีรางวัลให้สูงสุดอยู่ที่ 200,000 เหรียญหรือราวๆ 6 ล้านบาท ซึ่งก็ถือเป็นตัวเลขที่ไม่น้อยแล้ว การเพิ่มรางวัลสูงสุดเป็น 1 ล้านเหรียญหรือราวๆ 30 ล้านบาทในครั้งนี้จึงถือเป็นเรื่องใหญ่ไม่น้อย และทาง Apple ก็คาดหวังว่าจะได้รับความร่วมมือจากเหล่าผู้เชี่ยวชาญทางด้าน Security ทั่วโลกในการรายงานช่องโหว่ใหม่ๆ เพิ่มเติมอย่างต่อเนื่องหลังจากนี้

นอกจากนี้ Apple เองก็ยังได้ประกาศให้ macOS, tvOS, watchOS, iCloud นั้นเข้าร่วมในโครงการ Bug Bounty ด้วยแล้ว เพิ่มเติมจากการรองรับเฉพาะ iOS ในก่อนหน้านี้

อย่างไรก็ดี ถึงแม้ Apple จะประกาศเพิ่มรางวัลมากขึ้นถึงขนาดนี้ แต่ราคาการซื้อขายช่องโหว่ในตลาดมืดนั้นก็ยังสูงกว่านี้อยู่ดี อีกทั้งเหล่าผู้เชี่ยวชาญทางด้าน Security อย่างเช่น Katie Moussouoris ผู้ดำรงตำแหน่ง CEO แห่ง Luta Security เองก็ยังได้ให้ความเห็นกับ Infosecurity Magazine ว่าการเพิ่มรางวัลในครั้งนี้อาจนำมาซึ่งผลกระทบตามหลังมากมาย โดยเฉพาะอย่างยิ่งการทำงานภายใน Apple เองที่พนักงานอาจคิดว่ารางวัลขนาดนี้อาจคุ้มค่ากว่าการทำงานตามหน้าที่ที่ได้รับมอบหมายประจำ หรืออาจเกิดการจงใจปล่อยช่องโหว่ให้รั่วไหลเพื่อรับรางวัลทางอ้อมในอนาคตได้ ซึ่งการตั้งมูลค่าของรางวัลในโครงการ Bug Bounty นี้ก็ถือเป็นเรื่องที่ต้องคิดให้ถี่ถ้วน

ที่มา: https://www.theverge.com/2019/8/8/20756638/apple-macos-security-bug-bounty-rewards-program , https://www.infosecurity-magazine.com/news/apples-million-bug-bounty/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้