CDIC 2023

MIT เปิดตัว Bug Bounty Program ของตัวเอง

Credit: ShutterStock.com
Credit: ShutterStock.com

ปฏิเสธไม่ได้ว่า Bug Bounty Programs ของหลายๆบริษัทที่ได้จัดขึ้นนั้น ได้รับการตอบรับจากเหล่าแฮ็คเกอร์เป็นอย่างดี ไม่ว่าจะเป็น Uber ที่ประกาศว่ามีการจ่ายเงินรางวัลเป็นจำนวน 10,000 เหรียญ สำหรับ Critical Bugs ที่พบแล้ว ไปจนถึงหน่วยงานขนาดใหญ่อย่างกระทรวงกลาโหมของสหรัฐฯ ที่เคยประกาศ Cyber Bug Bounty Program ออกมา ภายใต้ชื่อ “Hack the Pentagon” เพื่อเชื้อเชิญเหล่าแฮ็คเกอร์เข้ามาร่วมนั่นเอง ล่าสุดถึงคิวของสถาบันการศึกษาชื่อดังอย่าง Massachusetts Institute of Technology หรือ MIT ได้ออกมาประกาศ Bug Bounty Program เพื่อค้นหาช่องโหว่ภายในเว็บไซท์ของตัวเองบ้างแล้ว

อย่างไรก็ตามโครงการนี้เปิดให้เฉพาะนักศึกษาของ MIT เข้าร่วมเท่านั้น และยังอยู่ในช่วง Alpha Testing โดยผู้ที่เข้าร่วมจะถูกร้องขอห้ามทำการเปิดเผยข้อมูลที่เป็นส่วนตัว พร้อมทั้งห้ามเปิดเผยรายละเอียดของช่องโหว่ก่อนที่จะได้รับการแก้ไข ซึ่ง Domain ที่อยู่ในขอบเขตของโปรแกรมนี้ประกอบไปด้วยหลายระบบ เช่น ระบบจัดการกลางสำหรับนักศึกษา, ระบบ Learning Modules โดยการหาช่องโหว่นั้นนับเฉพาะวิธีการดังต่อไปนี้ Information Leaks, Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), SQL Injections, Authorization bypass และ Remote Code Execution (RCE)

สำหรับผู้ที่ค้นพบช่องโหว่จะได้รับรางวัลเป็นเงินฝากเข้าบัญชี TechCASH ซึ่งเป็นบัญชีเงินสำหรับใช้ในร้านอาหาร, ร้านขายดอกไม้ และร้านขายของชำ รอบๆ Central Square ในเคมบริดจ์ นอกจากนี้ผู้ที่เป็น Top Contributors ในโปรแกรมนี้จะได้รับอนุญาตให้เก็บ Kerberos account ไว้ในระบบหลังจากจบการศึกษาไปแล้ว เพื่อเป็นการขอบคุณอีกด้วย

ที่มา : https://threatpost.com/mit-launches-experimental-bug-bounty-program/117618/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

Sony เร่งสืบสวนการถูกแฮ็ก หลังพบแฮ็กเกอร์อ้างว่าเจาะได้ พร้อมโชว์ไฟล์ตัวอย่าง

สาเหตุของเรื่องคือมีกลุ่มคนร้ายที่ชื่อ RansomedVC ได้แอบอ้างว่าสามารถเจาะระบบของ Sony ได้ พร้อมกับเผยถึงข้อมูลบางส่วน ต่อมามีแฮ็กเกอร์อีกกลุ่มที่อ้างว่าตนนี่แหละตัวจริง พร้อมหลักฐานมากกว่า ในขณะที่ Sony ยังกำลังตรวจสอบคำกล่าวอ้างเหล่านี้อยู่