Tags:
Node Thumbnail

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

โครงการ Shopify Scripts ให้รางวัลสูงสุด 20,000 ดอลลาร์สำหรับช่องโหว่ระดับสูง และลดหลั่นไปเรื่อยๆ หลังเปิดโครงการ ทาง Shopify ได้รับรายงานจำนวนมาก มีช่องโหว่ระดับสูงนับสิบรายการ จนกระทั่งเมื่อสัปดาห์ที่แล้วทางโครงการต้องประกาศลดเงินรางวัลลงเหลือสูงสุดเพียง 2,000 ดอลลาร์

ช่องโหว่ความปลอดของ Shopify Scripts ถูกแก้ไปแล้ว 49 รายการหลังเริ่มเปิดโครงการเพียงเดือนเดียว

บทเรียนครั้งนี้อาจจะเป็นบทเรียนสำคัญสำหรับบริษัทที่อยากเปิดโครงการช่องโหว่ความปลอดภัยบ้าง ว่าอาจจะต้องค่อยๆ เพิ่มเงินรางวัลไปเรื่อยๆ ไม่เช่นนั้นจะกลายเป็นการสร้างภาระทางการเงินหนักเกินไป

ที่มา - Hacker One

Get latest news from Blognone

Comments

By: osmiumwo1f
ContributorWindows PhoneWindows
on 19 December 2016 - 02:05 #959653
osmiumwo1f's picture

กลัวว่าคนเจอจะเอาไปขายให้กับพวกใต้ดินแทนเพราะเงินรางวัลลดลงนี่แหละครับ

By: Jirawat
Android
on 19 December 2016 - 06:49 #959661
Jirawat's picture

เงินน้อยก็ขายใต้ดินสิครัช

By: AdmOd
iPhoneWindows
on 19 December 2016 - 10:12 #959703 Reply to:959661

lol