Tags:
Node Thumbnail

กูเกิลรายงานการจ่ายเงินรางวัล สำหรับผู้แจ้งบั๊กช่องโหว่ของโครงการ Vulnerability Reward Program (VRP) ในปี 2023 โดยจ่ายเงินไป 10 ล้านดอลลาร์ ให้นักวิจัย 632 ราย ใน 68 ประเทศ

ตัวเลขนี้ลดลงจากปี 2022 ซึ่งกูเกิลจ่ายเงินไป 12 ล้านดอลลาร์ โดยในปีที่ผ่านมา การจ่ายเงินสูงสุดกับนักวิจัยหนึ่งการรายงานคือ 113,337 ดอลลาร์ ตัวเลขสะสมที่กูเกิลจ่ายมาตลอดโครงการนี้ตั้งแต่ปี 2010 คือ 59 ล้านดอลลาร์

VRP ส่วนของการรายงานบั๊ก-ช่องโหว่ใน Android มีการจ่ายเงินไปรวม 3.4 ล้านดอลลาร์ ซึ่งปีที่ผ่านมาขอบข่ายรวมไปถึง Wear OS ด้วย, Chrome มีการจ่ายเงินไป 2.1 ล้านดอลลาร์ จากการรายงานช่องโหว่ทั้งหมด 359 รายการ และส่วน Generative AI ที่เพิ่งเพิ่มมา มีทั้งหมด 35 การรายงาน จ่ายเงินไป 87,000 ดอลลาร์

Tags:
Node Thumbnail

กูเกิลประกาศขยายโครงการ VRP (Vulnerability Reward Program) ที่ให้รายงานช่องโหว่หรือบั๊ก ครอบคลุมถึงหัวข้อ Generative AI ซึ่งกูเกิลบอกว่าถือเป็นการให้ผลตอบแทนสำหรับการวิจัย ที่เกี่ยวข้องกับความปลอดภัยและความเสี่ยงของ AI เพื่อให้ AI เป็นพื้นที่ปลอดภัยของทุกคน

ตัวอย่างหัวข้อที่กูเกิลถือว่าเป็นช่องโหว่ของ Generative AI เช่น การมีอคติอย่างไม่ยุติธรรม (Unfair bias), การนำโมเดลไปดัดแปลงไม่เหมาะสม ตลอดจนการตีความข้อมูลที่ไม่ถูกต้อง กูเกิลบอกว่าการนำ Generative AI ไปใส่ในผลิตภัณฑ์ของกูเกิลนั้น มีทีมงานความปลอดภัยทดสอบความเสี่ยงด้านต่าง ๆ ที่อาจเกิดขึ้นได้อยู่แล้ว แต่การได้ความร่วมมือเพิ่มเติมจากนักวิจัยภายนอกจะช่วยให้ Generative AI ของกูเกิลปลอดภัยมากขึ้นไปอีก

Tags:
Node Thumbnail

Jay Freeman นักพัฒนาโครงการ Cydia ที่ใช้เจาะ iOS รายงานช่องโหว่สร้างโทเค็นไม่จำกัดบนเครือข่าย Optimism ที่เป็นเครือข่าย Layer-2 สำหรับการโอน Ethereum อย่างรวดเร็วและประหยัด gas นับเป็นช่องโหว่ที่ร้ายแรงจนกระทั่งทาง Optimism ตัดสินใจจ่ายเงินรางวัล 2 ล้านดอลลาร์ (กับอีก 42 ดอลลาร์)

ช่องโหว่อาศัยคำสั่ง SELFDESTRUCT ของ EVM ที่ Optimism พัฒนาต่อมาจากโครงการ Ethereum โดยหากเรียกคำสั่งนี้จาก smart contract ตัว EVM จะลบ contract ทิ้ง แต่กลับเหลือมูลค่า token ทิ้งไว้ หากโอนเงินแล้วสั่ง SELFDESTRUCT ก็จะเหมือนสร้างเงินขึ้นมาเฉยๆ

Tags:
Node Thumbnail

กูเกิลออกรายงานเกี่ยวกับการให้รางวัลสำหรับผู้แจ้งบั๊กช่องโหว่ในโครงการ VRP (Vulnerability Reward Program) โดยในปี 2021 มีการจ่ายเงินไป 8.7 ล้านดอลลาร์ และมีนักวิจัยเลือกบริจาคเงินรางวัลดังกล่าวให้หน่วยงานการกุศลกว่า 3 แสนดอลลาร์

โครงการ VRP แบ่งการรายงานเป็น 4 หมวด ได้แก่ Android, Chrome, Abuse และ Google Play ในปีที่ผ่านมาหมวด Chrome มีการจ่ายเงินรางวัลมากที่สุดรวม 3.3 ล้านดอลลาร์ จากช่องโหว่ที่รายงาน 333 รายการ มีนักวิจัยได้รับเงินรางวัล 115 ราย ส่วนใหญ่เป็นบั๊กเกี่ยวกับเบราว์เซอร์

ช่องโหว่ที่ได้เงินรางวัลสูงสุดคือ CVE-2021-39698 ซึ่งเป็นช่องโหว่ที่ทำงานเป็นลูกโซ่บน Android ได้เงินรางวัล 157,000 ดอลลาร์ สูงสุดเท่าที่เคยจ่ายมาในหมวด Android

Tags:
Node Thumbnail

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน

โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป

Alejandro N. Mayorkas รัฐมนตรี DHS ให้สัมภาษณ์ว่ารัฐบาลสหรัฐต้องการยกระดับความปลอดภัยของระบบไอที ดังนั้น DHS จึงต้องทำตัวเป็นตัวอย่างก่อนใครเพื่อน โครงการ Hack DHS เกิดขึ้นมาเพื่อค้นหาจุดโหว่ของระบบของ DHS เอง และต้องการเป็นต้นแบบให้องค์กรภาครัฐอื่นๆ ทำตาม

Tags:
Node Thumbnail

ไมโครซอฟท์ รายงานภาพรวมโครงการ Bug Bounty ในช่วง 1 ปีที่ผ่านมา (1 กรกฎาคม 2020 - 30 มิถุนายน 2021) จ่ายเงินรางวัลไปรวม 13.6 ล้านดอลลาร์ ให้กับผู้วิจัย 340 ราย จาก 58 ประเทศ

เงินรางวัลที่จ่ายให้สูงสุดมูลค่า 200,000 ดอลลาร์ ในโครงการรายงานช่องโหว่ของ Hyper-V มีค่าเฉลี่ยที่ 10,000 ดอลลาร์

ปัจจุบันไมโครซอฟท์มีโครงการรายงานช่องโหว่ 17 โครงการ โดยโครงการของ Hyper-V มีเงินรางวัลสูงสุดที่ 250,000 ดอลลาร์ ในปีที่ผ่านมาได้เพิ่มโครงการใหม่หลายอย่าง อาทิ Microsoft Teams หรือการเข้ารหัส SIKE

ที่มา: ZDNet

Tags:
Node Thumbnail

กูเกิลออกรายงานโครงการ bug bounty หรือรายงานการพบช่องโหว่เพื่อรับเงินรางวัลของปี 2020 ซึ่งจ่ายเงินให้กับนักวิจัยไปรวม 6.7 ล้านดอลลาร์ มีนักวิจัยที่ได้รับเงินทั้งหมด 662 คน จาก 62 ประเทศ เพิ่มขึ้นจากปี 2019 ที่จ่ายไป 6.5 ล้านดอลลาร์

กลุ่มผลิตภัณฑ์ Chrome มีการจ่ายเงินรางวัลสูงสุด 2.1 ล้านดอลลาร์ จากช่องโหว่ 300 รายการ ส่วน Android จ่ายเงินไป 1.74 ล้านดอลลาร์, Google Play 2.7 แสนดอลลาร์

Tags:
Node Thumbnail

Google ออกรายงานโครงการ bug bounty หรือรายงานช่องโหว่รับเงินรางวัลประจำปี ซึ่งโครงการนี้จัดมาตั้งแต่ปลายปี 2010 โดยตลอดระยะเวลา 9 ปีกว่า ๆ Google ได้มอบรางวัลให้นักวิจัยกว่า 21 ล้านดอลลาร์

Google เผยว่า เมื่อปีที่แล้วทั้งปี โครงการนี้จ่ายเงินให้นักวิจัยไปแล้วกว่า 6.5 ล้านดอลลาร์ กับนักวิจัย 461 คน ทำลายสถิติเดิมของปี 2018 ที่ 3.4 ล้านดอลลาร์กับนักวิจัย 317 คน

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดโครงการ Xbox Bug Bounty โดยจะเน้นไปที่ช่องโหว่บนเครือข่ายและบริการของ Xbox Live โดยเงินรางวัลจะจ่ายให้ตามความรุนแรงของช่องโหว่ตั้งแต่ 500 เหรียญไปจนถึงสูงสุดอย่างช่องโหว่รันโค้ดทางไกลระดับร้ายแรงที่ 20,000 เหรียญ

ไมโครซอฟท์ระบุไว้ด้วยว่าช่องโหว่หรือปัญหาที่ไม่เข้าข่ายรับเงินรางวัล อาทิ DDoS, CSRF ที่ผลกระทบต่ำ หรือ URL Redirects เป็นต้น สามารถดูรายละเอียดและช่องทางการรายงานช่องโหว่ได้ที่นี่

ที่มา - Microsoft

Tags:
Node Thumbnail

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

ที่มา - Hacker One

Tags:
Node Thumbnail

Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์

Tags:
Node Thumbnail

ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon

ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า

ปัญหาการไม่อัพเดตซอฟต์แวร์ต้นน้ำที่ออกแพตช์ความปลอดภัยมาแล้ว (patch gap) เป็นปัญหาใหญ่ของวงการ IoT ที่อุปกรณ์มักมีความสามารถสูงขึ้นเรื่อยๆ หลายครั้งมีเบราว์เซอร์เต็ม แต่กลับไม่ได้รับแพตช์ตามรอบเช่นเดียวกับพีซีหรือโทรศัพท์มือถือ

Tags:
Node Thumbnail

HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว

โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้

Tags:
Node Thumbnail

Apple ประกาศขยายโครงการ bug bounty หรือรายงานบั๊กรับเงินรางวัล จากเดิมที่รองรับเฉพาะ iOS ขยายเป็น iPadOS, macOS, tvOS และ watchOS รวมถึงบริการอย่าง iCloud ซึ่งจะมีเงินรางวัลให้สูงสุดถึง 1 ล้านดอลลาร์ จากเดิมที่ 2 แสนดอลลาร์

การขยายโครงการ bug bounty ครั้งนี้มีจุดประสงค์เพื่อให้นักวิจัยด้านความปลอดภัยสนใจการค้นหาช่องโหว่ในตัวซอฟต์แวร์หรือบริการของ Apple มากขึ้น จากเดิมที่เงินรางวัลในโครงการนี้ไม่ค่อยคุ้มค่าและไม่ครอบคลุมระบบปฏิบัติการอื่นนอกจาก iOS ก็ส่งผลให้บางกรณีนักวิจัยเลือกเปิดเผยช่องโหว่แทนที่จะแจ้งให้ ​Apple ทราบ

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ

เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด)

Tags:
Node Thumbnail

ผู้ใช้ HackerOne ชื่อว่า spaceraccoon รายงานถึงเซิร์ฟเวอร์ของสตาบั๊กในสิงคโปร์ที่เป็นเซิร์ฟเวอร์ไม่ได้ใช้งาน แต่กลับรัน CMS เก่าที่ไม่ได้อัพเดตเปิดทางให้แฮกเกอร์รันโค้ดและยึดเซิร์ฟเวอร์ได้

spaceraccoon พบเซิร์ฟเวอร์นี้จากการไล่ชื่อโดเมน (subdomain enumeration) แม้ตัวเว็บไซต์จะมีเพียงข้อความ "this website is not in use" แต่ท้ายเว็บกลับมีชื่อ CMS ระบุไว้เป็นจาวาที่รันอยู่บน Jboss ที่ไม่ได้ล็อก web console เอาไว้

Jboss ที่ใช้งานอยู่เป็นเวอร์ชั่นเก่านานหลายปี มีช่องโหว่ Java deserialization

ทาง Starbucks (ชื่อผู้ใช้ coldbr3w) รับเรื่อง หลายรายงานหนึ่งวันและเว็บไซต์นี้ก็ถูกปิดตัวลง พร้อมจะจ่ายรางวัลระดับสูงสุดตามโครงการรายงานช่องโหว่ของ Starbucks มูลค่า 4,000 ดอลลาร์

Tags:
Node Thumbnail

Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว

ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่

Tags:
Node Thumbnail

ช่วงหลังเราเห็นโครงการ Bug Bounty แจกเงินรางวัลให้ผู้ค้นพบช่องโหว่หรือบั๊กของซอฟต์แวร์ต่างๆ มากขึ้นเรื่อยๆ แต่ส่วนใหญ่มักเป็นซอฟต์แวร์ของบริษัทใหญ่ๆ ที่มีเงินเหลือเฟือ

ล่าสุด สหภาพยุโรป (EU) ประกาศโครงการ Bug Bounty ให้กับซอฟต์แวร์โอเพนซอร์ส 14 ตัวที่ EU ใช้งาน เช่น Filezilla, Apache Kafka, Apache Tomcat, Notepad++, VLC, PuTTY, 7-Zip, Drupal, glibc, PHP Symfony เป็นต้น

Tags:
Node Thumbnail

แฮกเกอร์ผู้ใช้นามแฝงว่า moskowsky รายงานช่องโหว่ของเว็บ partner.steamgames.com ที่หากส่งพารามิเตอร์บางอย่าง (ไม่เปิดเผย) จะทำให้ผู้ใช้สามารถดาวน์โหลดคีย์ของเกมใดๆ ก็ได้ ทั้งหมดที่ผู้ผลิตเกมเคยสร้างคีย์ขึ้นมา

ช่องโหว่นี้รายงานไปยัง Valve ตั้งแต่ต้นเดือนสิงหาคมที่ผ่านมา และทาง Valve แก้ไขแล้วเสร็จในเวลาเพียง 4 วัน และมอบรางวัลให้ moskowsky เป็นเงินตามความร้ายแรง 15,000 ดอลลาร์ และมีโบนัสเพิ่มอีก 5,000 ดอลลาร์

Tags:
Node Thumbnail

Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด

เขารายงานช่องโหว่พร้อมโค้ดตัวอย่าง ตั้งแต่เดือนกุมพาพันธ์ที่ผ่านมา แม้ทีมงาน MSRC (Microsoft Security Response Center) ของไมโครซอฟท์จะส่งผู้จัดการเคสมารับเรื่องอย่างรวดเร็ว แต่การสื่อสารก็ขาดช่วง และสุดท้ายหลังจากผ่านไปเกือบสี่เดือนไมโครซอฟท์ก็แจ้งว่าความร้ายแรงของช่องโหว่ต่ำกว่าระดับที่ MSRC รับดูแล และการรายงานของ Matt ก็ถูกปิดเคสไป

Tags:
Node Thumbnail

เฟซบุ๊กประกาศขยายโครงการรางวัลสำหรับรายงานช่องโหว่ (bug bounty) ออกไปสู่แอพภายนอกที่ใช้แพลตฟอร์มเฟซบุ๊กด้วย โดยจำกัดเฉพาะช่องโหว่ที่ทำ access token ของผู้ใช้รั่วไหลเท่านั้น

รายงานช่องโหว่รั่วไหลนี้ต้องเป็นการรั่วไหลจากการ "รับชม" ข้อมูลบนแอพหรือเว็บไซต์เท่านั้น ไม่รวมถึงการโจมตีเว็บไซต์ด้วยวิธีการต่างๆ แนวทางเช่นนี้คือเฟซบุ๊กหาทางลดแอพ "มักง่าย" ที่พัฒนาอย่างไม่ระวังจนทำ access token ของผู้ใช้หลุดออกไป

รางวัลขึ้นกับผลกระทบของรายงานแต่ละครั้ง รางวัลขั้นต่ำ 500 ดอลลาร์

Tags:
Node Thumbnail

Google ประกาศการขยายขอบข่ายของโครงการ Bug Bounty จากเดิมที่รายงานช่องโหว่ความปลอดภัยอย่างเดียว ตอนนี้รับรายงานช่องโหว่ในลักษณะที่ใช้งานแพลตฟอร์มของ Google ไปในทางที่ผิด อาทิ ช่องโหว่บายพาสต์ระบบกู้คืนแอคเคาท์, ช่องโหว่ที่สามารถใช้งานหรือแชร์คอนเทนท์ที่ผิดกฎ หรือที่ทำให้ซื้อสินค้าบนแพลตฟอร์ม Google โดยไม่ต้องจ่ายเงิน เป็นต้น

Google บอกว่าตั้งแต่เปิดโครงการ Bug Bounty รายงานลักษณะนี้ก็มีมาตลอดและบริษัทก็ให้เงินรางวัลมาตลอด ควบคู่กับรายงานช่องโหว่ด้านความปลอดภัย การประกาศครั้งนี้จึงทำให้นักวิจัยสามารถรายงานช่องโหว่ลักษณะดังกล่าวได้อย่างเป็นทางการ

Tags:
Node Thumbnail

HP เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินรางวัลสำหรับผลิตภัณฑ์เครื่องพิมพ์

โครงการ bug bounty ของ HP นี้จะจ่ายเงินรางวัลตั้งแต่ 500-10,000 ดอลลาร์ต่อช่องโหว่ โดยโครงการนี้เป็นโครงการสำหรับรายงานช่องโหว่ที่เปิดให้ในวงจำกัด และ HP เลือกใช้แพลตฟอร์มของ Bugcrowd สำหรับการรับรายงานช่องโหว่

โครงการ bug bounty สำหรับเครื่องพิมพ์ของ HP จะเน้นไปที่เครื่องพิมพ์สำหรับใช้ในองค์กรหรือสำนักงาน เนื่องจากเครื่องพิมพ์เหล่านี้มักถูกเชื่อมต่อกับระบบเครือข่าย ซึ่งมีความอ่อนไหวต่อการเจาะและเป็นภัยต่อเครือข่ายในองค์กรได้ง่าย โดย HP บอกว่าบริษัทถือเป็นรายแรกที่ออกโครงการ bug bounty สำหรับเครื่องพิมพ์ และทางบริษัทมีแผนจะขยายโครงการนี้ไปยังพีซีด้วย

Tags:
Node Thumbnail

Netflix ได้เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินเป็นรางวัลสำหรับบุคคลทั่วไปอย่างเป็นทางการ เพื่อให้นักวิจัยความปลอดภัยสนใจการหาช่องโหว่ของ Netflix มากขึ้น โดย Netflix เลือกใช้แพลตฟอร์มของ Bugcrowd ในโครงการ bug bounty นี้

Netflix มีโครงการ bug bounty มาสักระยะหนึ่งแล้ว แต่ก่อนหน้านี้ยังคงรับรายงานในวงจำกัด โดย Netflix ได้รับแจ้งช่องโหว่ทั้งหมด 275 ครั้ง และเป็นช่องโหว่จริง ๆ กว่า 145 ครั้ง มีความร้ายแรงหลายระดับ ซึ่งการรับรายงานช่องโหว่ทำให้ Netflix สามารถตรวจสอบระบบและปรับปรุงความปลอดภัยได้ดียิ่งขึ้น

Tags:
Node Thumbnail

GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300

ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty

Pages