Tags:
Topics: 
Node Thumbnail

DJI ผู้ผลิตโดรนชื่อดังออกโครงการ bug bounty ดึงดูดนักวิจัยด้านความปลอดภัยให้หาช่องโหว่ทั้งบนซอฟต์แวร์และโดรน ภายใต้ชื่อว่า DJI Threat Identification Reward Program

จำนวนเงินที่ DJI จ่ายนั้นจะอยู่ที่ 100 จนถึง 30,000 ดอลลาร์ โดยจะพิจารณาตามความร้ายแรงของช่องโหว่ ซึ่งโครงการดังกล่าว DJI กล่าวว่ามีจุดประสงค์หลักอยู่ที่การป้องกันการคุกคามข้อมูลผู้ใช้, วิดีโอ และบันทึก แต่ DJI ก็ยังมองหาปัญหาที่เกี่ยวข้องกับความปลอดภัยการบินด้วย ไม่ว่าจะเป็นระบบพลังงาน, การจำกัดพื้นที่บินของโดรน และการจำกัดความสูงของโดรน

ผู้ที่สามารถค้นพบช่องโหว่ของซอฟต์แวร์และโดรนของ DJI สามารถส่งอีเมลไปรายงานช่องโหว่ได้ที่ bugbounty@dji.com

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดโครงการ Windows Bounty Program สำหรับวินโดวส์ทั้งเซิร์ฟเวอร์และไคลเอนต์ทั้งหมด โดยรวม Edge เข้ามาด้วย

โครงการนี้เริ่มที่ Windows Insider Preview เป็นพื้นฐาน รางวัล 500 ถึง 15,000 ดอลลาร์ แล้วเพิ่มเติมบริการอื่น ได้แก่ Edge 500-15,000 ดอลลาร์, Windows Defender Application Guard 500-30,000 ดอลลาร์, mitigation bypass 500-200,000 ดอลลาร์ และที่รางวัลสูงสุดคือ Hyper-V ที่ครอบคลุมทั้ง Windows 10 รุ่นปกติ, Windows Server 2012 ไปจนถึง Windows Server Insider Preview รางวัล 5,000-200,000 ดอลลาร์

Tags:
Node Thumbnail

กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์

Tags:
Node Thumbnail

โครงการรายงานช่องโหว่แลกรางวัลของกูเกิล (Google VRP) ประกาศเพิ่มเพดานรางวัลจากเดิม 20,000 ดอลลาร์เป็น 31,337 หรือเพิ่มขึ้นกว่า 50% โดยระบุเหตุผลว่าช่องโหว่ระดับสูงใช้เวลาค้นหานานขึ้นมาในช่วงปีที่ผ่านมา

ช่องโหว่รันโค้ดจากระยะไกลจึงได้เพดานรางวัล 31,337 ดอลลาร์ ขณะที่ช่องโหว่อื่นรางวัลอาจจะเพิ่มในสัดส่วนต่างกัน เช่น ช่องโหว่เข้าถึงระบบไฟล์จะอยู่ที่ 13,337 ดอลลาร์ เพิ่มจาก 10,000 ดอลลาร์

พร้อมๆ กับการประกาศของกูเกิล ไมโครซอฟท์ก็ประกาศเพิ่มรางวัลเป็นกรณีพิเศษให้กับการายงานช่องโหว่ของ Office 365 และ Exchange Online โดยเพิ่มรางวัลเป็นสองเท่าตัว สูงสุด 30,000 ดอลลาร์ บนบริการของโดเมน portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com, และ outlook.com

Tags:
Node Thumbnail

ช่วงปีที่ผ่านมาเว็บและบริการที่เข้าถึงจากอินเทอร์เน็ตจำนวนมากพากันเปิดโครงการรายงานช่องโหว่แลกเงินรางวัล โดยข้อดีที่เรามักเห็นกันคือบริการเหล่านี้ได้รับการตรวจสอบอย่างถี่ถ้วนมาก และภาพลักษณ์ของบริการก็ดีขึ้นไปพร้อมกัน เช่น Pornhub ที่มีนักวิจัยรายงานช่องโหว่ระดับสูงเข้าไป ล่าสุด Michael Stoppelman รองประธานฝ่ายวิศวกรรมของ Yelp ก็ออกมาบอกข้อดีอีกประการของโครงการเช่นนี้ว่าทำให้บริษัทจ้างคนได้ง่ายขึ้นด้วย

Tags:
Node Thumbnail

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

Tags:
Node Thumbnail

แนวทางการรักษาความปลอดภัยซอฟต์แวร์และบริการคงเป็นมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์รายใหญ่ๆ ในโลกจำนวนมาก แต่โครงการรายงานช่องโหว่แลกเงินรางวัลรอบล่าสุดกลับมาจากตลาดมืดใต้ดินที่ชื่อว่า HANSA (http://hansamkt2rr6nfg3.onion)

ประกาศของ HANSA แบ่งช่องโหว่ออกเป็นสามระดับ ได้แก่ ระดับสำคัญยิ่งยวด โดยอาจจะเปิดเผยหมายเลขไอพีผู้ใช้หรือเซิร์ฟเวอร์หรือเปิดเผยข้อมูลส่วนตัวอื่นๆ ได้รางวัล 10BTC, รางวัลสำคัญรองๆ ลงมา 1BTC, และบั๊กเล็กน้อยรางวัล 0.05BTC

Tags:
Node Thumbnail

กูเกิลรายงานสรุปโครงการรายงานช่องโหว่ซอฟต์แวร์โดยมีเงินรางวัล (bug bounty) สรุปยอดรวมของปี 2016 จ่ายเงินไปทั้งสิ้นกว่า 3 ล้านดอลลาร์

ข้อมูลเพิ่มเติมของเงินรางวัลในปี 2016 ได้แก่

Tags:
Node Thumbnail

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

ช่องโหว่ชุดหนึ่งเจาะทะลุจากเว็บรับสมัครทหาร goarmy.com แล้วพบว่ามีพรอกซี่ภายในเปิดอยู่ทำให้นักวิจัยสามารถทะลุเข้าเน็ตเวิร์คภายในของกองทัพได้ นับเป็นช่องโหว่ที่ร้ายแรงที่สุดในรายการนี้

Tags:
Node Thumbnail

Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล

โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น

ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น

Tags:
Node Thumbnail

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

โครงการ Shopify Scripts ให้รางวัลสูงสุด 20,000 ดอลลาร์สำหรับช่องโหว่ระดับสูง และลดหลั่นไปเรื่อยๆ หลังเปิดโครงการ ทาง Shopify ได้รับรายงานจำนวนมาก มีช่องโหว่ระดับสูงนับสิบรายการ จนกระทั่งเมื่อสัปดาห์ที่แล้วทางโครงการต้องประกาศลดเงินรางวัลลงเหลือสูงสุดเพียง 2,000 ดอลลาร์

Tags:
Node Thumbnail

โครงการหาช่องโหว่ความปลอดภัยแลกรางวัลได้รับความนิยมในหมู่ผู้ผลิตซอฟต์แวร์ และผู้ให้บริการผ่านอินเทอร์เน็ตจำนวนมาก แต่ตอนนี้ผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm ก็หันมาเปิดโครงการเช่นนี้บ้างแล้ว

ทาง Qualcomm จะจำกัดเฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น โดยระบุว่าบริษัทจะเชิญนักวิจัยเข้าร่วมโครงการเพิ่มเติมเรื่อยๆ ตัวโครงการครอบคลุมฮาร์ดแวร์ Snapdragon 400, 615, 801, 808, 810, 820, 821 และโมเด็ม X5, X7, X12, X16 พร้อมกับซอฟต์แวร์ทั้งตัวลินุกซ์เคอร์เนลและเฟิร์มแวร์ ตลอดจนระบบ TrustZone และซอฟต์แวร์อื่นๆ ที่รันในสิทธิ์ root

Tags:
Node Thumbnail

โครงการ Facebook Bug Bounty ได้ประกาศว่า ในช่วงระยะเวลา 5 ปีของโครงการ bug bounty ของบริษัทได้จ่ายเงินไปแล้วกว่า 5 ล้านดอลลาร์ ให้นักวิจัยและผู้รายงานบั๊กกว่า 900 คน

Joey Tyson วิศวกรด้านความปลอดภัยของ Facebook ได้กล่าวว่าโครงการนี้จะไม่สำเร็จได้เลยถ้าไม่ได้รับความร่วมมือจากนักวิจัยความปลอดภัยในวงกว้าง

Facebook นั้นไมไ่ด้เปิดเผยว่าได้รับรายงานบั๊กเป็นจำนวนเท่าไรใน 5 ปีตั้งแต่เริ่มโครงการ โดยบอกเพียงแค่ครึ่งปีแรกที่มีรายงาน 9 พันครั้ง ซึ่งนักวิจัยจากประเทศอินเดีย, สหรัฐฯ และเม็กซิโกเป็นสามประเทศแรกที่มีนักวิจัยได้เงินจาก Facebook รวมแล้วเป็นจำนวนมากที่สุด

Tags:
Node Thumbnail

Chrome OS ออกอัพเดต 53.0.2785.144 แก้ไขชุดช่องโหว่ระดับสูงสุด คือสามารถฝังโค้ดไว้ในเครื่องเมื่อรันจากโหมด guest และโค้ดนี้สามารถใช้งานได้แม้จะบูตเครื่องใหม่แล้วก็ตาม

ปกติแล้ว Chrome OS มีระบบการตรวจสอบความถูกต้องของซอฟต์แวร์ระหว่างการบูตที่แน่นหนาอย่างมาก โครงการให้รางวัลรายงานช่องโหว่ของ Chrome นั้นจัดรางวัลสำหรับช่องโหว่แบบนี้แยกจากช่องโหว่อื่นๆ ให้รางวัลถึง 100,000 ดอลลาร์ ขณะที่ช่องโหว่อื่นมีรางวัลไม่เกิน 15,000 ดอลลาร์เท่านั้น

Tags:
Node Thumbnail

เว็บรีวิวร้านอาหาร Yelp ประกาศเปิดโครงการให้เงินรางวัลสำหรับการรายงานช่องโหว่ (bug bounty) มูลค่าสูงสุด 15,000 ดอลลาร์ บนเว็บ, บล็อก, เว็บจัดการการจองร้าน, และแอปบนโทรศัพท์มือถือ

ทาง Yelp ระบุว่าที่จริงแล้วบริษัทมีโครงการแบบนี้มาสองปีแล้ว แต่เป็นโครงการภายในที่ไม่ได้เปิดเผยต่อสาธารณะ และแก้ไขช่องโหว่ไปแล้วหลายร้อยรายการจากนักวิจัยหลายสิบคน การเปิดโครงการนี้เป็นการเปิดต่อสาธารณะเป็นครั้งแรก

หน้าโครงการใน HackerOne แสดงประวัติการจ่ายเงินรางวัลก่อนที่จะเปิดโครงการมาตั้งแต่สองปีที่แล้ว รางวัลส่วนมากอยู่ในช่วง 500 ถึง 1,000 ดอลลาร์

Tags:
Node Thumbnail

แอปเปิลประกาศเปิดโครงการหาบั๊กความปลอดภัยล่ารางวัลในงาน Blackhat โดยมีรางวัลสูงสุดถึง 200,000 ดอลลาร์ อย่างไรก็ดีโครงการนี้ไม่เปิดให้คนทั่วไป แต่ต้องเป็นนักวิจัยที่แอปเปิลเชิญเข้ามาเท่านั้น

การจัดหมวดหมู่ช่องโหว่แต่ละระดับรางวัลต่างกันไป ได้แก่

Tags:
Node Thumbnail

ปัญหาความปลอดภัยของระบบคอมพิวเตอร์ในรถร้ายแรงขึ้นเรื่อยๆ ในช่วงหลัง ตอนนี้ผู้ผลิตรถยนต์อันดับเจ็ดของโลกอย่าง Fiat Chrysler (FCA) ก็เปิดโครงการรวมกับเว็บ Bugcrowd

โครงการนี้เกิดขึ้นเกือบหนึ่งปีหลังจากรถยนต์ของ FCA เองมีช่องโหว่ร้ายแรงจนกระทั่งแฮกเกอร์สามารถเข้าควบคุมรถจากระยะไกล และบริษัทต้องอัพเดตรถจำนวน 1.4 ล้านคัน

FCA เป็นบริษัทรถยนต์บริษัทที่สองที่เปิดโครงการกับ Bugcrowd ตามหลัง Tesla ที่เปิดโครงการตั้งแต่ต้นปี โดยบั๊กของ FCA มีเงินรางวัล 150 ถึง 1,500 ดอลลาร์ เทียบกับ Tesla ที่มีเงินรางวัล 100 ถึง 10,000 ดอลลาร์

Tags:
Node Thumbnail

Pornhub เพิ่งเปิดโครงการหาช่องโหว่เว็บเมื่อต้นเดือนที่ผ่านมา ตอนนี้โครงการได้รับความสนใจสูงโดยทางเว็บได้รับรายงานหลายพันรายการ ทางเว็บระบุว่าได้เรียนรู้หลายอย่างและกำลังเพิ่มพนักงานเพื่อให้ตอบสนองต่อรายงานที่เข้ามาได้เร็วขึ้น เพิ่มเงินรางวัล และเพิ่มบริการ Pornhub Premium เข้าโครงการ

นอกจากเงินรางวัลแล้ว ทางเว็บจะแจกเสื้อยืดสำหรับนักวิจัยที่พบช่องโหว่ให้อีกด้วย

Tags:
Node Thumbnail

Pornhub ประกาศรางวัลสำหรับการแจ้งช่องโหว่เว็บ มูลค่าตั้งแต่ 50 ดอลลาร์ไปจนถึง 25,000 ดอลลาร์ โดยครอบคลุมเว็บทุกโดเมนของ pornhub.com

เงื่อนไขของการรับรางวัล ได้แก่ ต้องแจ้งช่องโหว่ภายใน 24 ชั่วโมงหลังพบ, ทางเว็บมีเวลาตอบกลับ 30 วัน เวลาแก้ไขอีก 90 วัน และต้องไม่โพสในแง่ลบต่อโครงการหรือตัวเว็บ, การตรวจสอบต้องไม่ทำให้บริการโดยรวมแย่ลง ไม่ใช้เครื่องมือทดสอบอัตโนมัติ, การเข้าถึงข้อมูลบัญชีต้องเป็นบัญชีของตัวเองเท่านั้น และไม่ดึงข้อมูลผู้ใช้อื่นไปเปิดเผย

จากประวัติของ Pornhub ทางเว็บเคยให้รางวัลแฮกเกอร์บางคนมาก่อนแล้ว แต่เพิ่งเปิดโครงการเป็นทางการก็วันนี้

ถ้าคุณเห็นคนทำงานด้านความปลอดภัยกำลังเปิด Pornhub บางทีพวกเขาอาจจะกำลังหาช่องโหว่เว็บอยู่