Tag Archives: bug bounty

HackerOne ได้ศึกษาพบว่าเหตุการณ์ที่บริษัทใหญ่หลายแห่งถูกแฮ็กและเกิดความเสียหายมากมายนั้น หากลงทุนทำ Bug Bounty แต่แรกเรื่องก็คงไม่เกิดขึ้นและมีค่าใช้จ่ายน้อยกว่าความเสียหายหลายพันเท่า

ในงาน Black Hat Conference ครั้งล่าสุดนี้ ทาง Apple ได้ออกมาประกาศเพิ่มรางวัลสำหรับโครงการ Bug Bounty ให้มีมูลค่าสูงสุดถึง 1 ล้านเหรียญหรือราวๆ 30 ล้านบาทแล้ว โดยช่องโหว่นั้นๆ จะต้องเป็นช่องโหว่ที่ทำให้เกิดการโจมตีแบบ Zero-Click, Full Chain Kernel Code Execution ได้

สำหรับนักเจาะระบบทั้งหลายไม่ว่าจะเป็น นิสิต นักศึกษา นักวิจัยอิสระ หรือผู้มีอาชีพในสายงาน Pentest วันนี้เวทีของท่านมาถึงแล้วซึ่งเป็นครั้งแรกในประเทศไทยกับโครงการ Bug Bounty เมื่อ ACinfotec หนึ่งในบริษัทด้าน Security Consulting รายใหญ่ได้ออกมาเปิดตัวแพลตฟอร์มที่ชื่อ ‘PentestCrowd’ (เพ็นเทสต์คราวด์) โดยเปิดรับสมัครผู้สนใจรอบแรกแล้ว อนึ่งเวทีนี้ยังเป็นโอกาสอันดีขององค์กรต่างๆ ทั้งจากภาครัฐและเอกชนให้มาเข้าร่วมเปิดระบบเพื่อทดสอบความแข็งแกร่งกับ Pentester มืออาชีพภายใต้กติกาที่รัดกุม อีกทั้งยังสามารถควบคุมค่าใช้จ่ายอย่างมีประสิทธิภาพเพราะเป็นการ ‘จ่ายเมื่อเจอ'(ช่องโหว่) เท่านั้น

จากแนวคิดเรื่อง Global Transparency Initiative ของแคสเปอร์สกี้ แลป ได้ต่อยอดไปยังโครงการ Bug Bounty ด้วยการเพิ่มรางวัลสูงสุดสำหรับการค้นพบและเปิดเผยช่องโหว่ร้ายแรงในผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สูงถึง 20 เท่า คือ 100,000 เหรียญสหรัฐ ซึ่งแสดงถึงความมุ่งมั่นของแคสเปอร์สกี้ แลป ในการปกป้องลูกค้าด้วยผลิตภัณฑ์คุณภาพอย่างซื่อตรง โดยผู้สนใจจะต้องเป็นสมาชิกของแพลตฟอร์ม HackerOne ซึ่งเป็นพาร์ตเนอร์ของแคสเปอร์สกี้ แลป ในโครงการนี้

มีรายงานการสำรวจจากการค้นพบ Bug ที่ถูกรายงานทางเว็บ HackerOne (เว็บไซต์ที่เป็นคนกลางระหว่างโปรแกรมหา Bug ของบริษัทต่างๆ) กว่า 1,700 ครั้งพบว่าแฮ็กเกอร์ฝ่ายดีทำรายได้มากกว่าเงินเดือนของวิศวกรซอฟต์แวร์ทั่วๆไปในประเทศเดียวกันถึง 2.7 เท่า

Google ประกาศเริ่มโปรแกรม Bug Bounty สำหรับผู้ที่สามารถค้นหาช่องโหว่บนแอพพลิเคชันยอดนิยมทั้งหลายใน Google Play Store พบ พร้อมมอบเงินรางวัลให้สูงสุดถึง $1,000 หรือประมาณ 33,000 บาท

Microsoft ได้ประกาศเปิดรางวัล Bug Bounty สำหรับช่องโหว่ Remote Code Execution บน Microsoft Edge ใน Windows Insider Preview Build และ Open Source อย่าง Chakra ตั้งแต่ 500 – 15,000 เหรียญหรือราวๆ 17,500 – 525,000 บาท เพื่อผลักดันให้ Microsoft Edge มีความปลอดภัยมากยิ่งขึ้นกว่าเดิม ส่วนถ้าใครพบช่องโหว่ที่ทาง Microsoft พบเป็นการภายในเองอยู่ก่อนแล้ว ก็จะได้รับเงินรางวัลถึง 1,500 เหรียญหรือราวๆ 52,500 บาทเลยทีเดียว

ในงาน Black Hat ที่กำลังจัดขึ้น ณ Las Vegas ในตอนนี้ ทาง Apple ได้ออกมาประกาศถึงโครงการ Bug Bounty Program หรือการแจ้งบั๊กและช่องโหว่เพื่อแลกกับเงินรางวัลที่จะเริ่มมีผลในเดือนหน้า และมีรางวัลสูงตั้งแต่ 25,000 เหรียญหรือราวๆ 875,000 บาท ไปจนถึง 200,000 เหรียญหรือราวๆ 7 ล้านบาทเลยทีเดียว

บริการ Cloud ชั้นนำโดยทั่วไปนั้นมักจะมีระบบ Two-Factor Authentication ที่สามารถส่งข้อความยืนยันต่างๆ ผ่านทาง SMS ได้ แต่บางบริการนั้นก็เปิดให้มีการโทรเข้าไปตรวจสอบด้วยระบบอัตโนมัติแทน และนั่นก็เป็นช่องโหว่ให้ผู้โจมตีสามารถนำเบอร์โทรศัพท์ที่เป็น Premium Rate หรือผู้ที่โทรเข้าไปต้องจ่ายค่าบริการในอัตราพิเศษ สร้างเป็นรายได้ให้แก่ผู้โจมตีได้ (คล้ายๆ กับระบบ 1900 บ้านเราครับ)

นักวิจัยทางด้านความปลอดภัยจากอินเดีย Pranav Hivarekar ได้ค้นพบวิธีที่ทำให้ตนเองสามารถลบ Video ใดๆก็ได้บน Facebook ถึงแม้ว่าจะไม่ได้เป็นเจ้าของ Video นั้นก็ตาม