By arjin Writer on Tag: Curl, Security, Bug Bounty, Artificial Intelligence
Curl

โครงการ cURL ประกาศยุติโครงการรายงานช่องโหว่ความปลอดภัยผ่าน HackerOne ที่จ่ายผลตอบแทนให้ผู้รายงานปัญหา โดยจะรับการรายงานช่องโหว่วันสุดท้าย 31 มกราคม 2026 หลังจากนั้นจะรับเฉพาะการรายงานโดยตรงจากนักวิจัยความปลอดภัยผ่าน GitHub ของโครงการเท่านั้น

ถ้าจำกันได้ก่อนหน้านี้ Daniel Stenberg ผู้สร้าง cURL เคยออกมาบ่นปัญหาโครงการรายงานช่องโหว่ในยุคสมัย AI ว่าพบรายงานที่ไม่มีคุณภาพ ไม่ใช่ช่องโหว่จริง ในจำนวนที่มากขึ้น ส่วนใหญ่เป็นรายงานที่ใช้ AI ซึ่งเสียเวลาทีมงานที่มีอยู่จำกัดในการตรวจสอบซ้ำมาก เลยนำมาสู่ทางออกด้วยการยกเลิกโครงการจ่ายเงินรางวัล Bug Bounty ไปเลย ซึ่ง Stenberg บอกว่าเขาจะอธิบายที่มาที่ไปเพิ่มเติมในสัปดาห์หน้า

By arjin Writer on Tag: Apple, Security, Bug Bounty
Apple

แอปเปิลประกาศเพิ่มเงินรางวัลสูงสุด สำหรับโปรแกรมการรายงานช่องโหว่ของฮาร์ดแวร์-ซอฟต์แวร์หรือ Bug Bounty สูงสุดเป็น 2 ล้านดอลลาร์ จากเดิม 1 ล้านดอลลาร์ ซึ่งเป็นเงินรางวัลสูงที่สุดในอุตสาหกรรมตอนนี้ หากนักวิจัยค้นพบช่องโหว่ระดับ Zero-click โดยผู้ใช้งานไม่ต้องทำอะไรเลย

นอกจากนี้แอปเปิลยังเพิ่มเงินรางวัลให้นักวิจัยในหมวดอื่นด้วย One-click เป็น 1 ล้านดอลลาร์, ช่องโหว่ Gatekeeper บน macOS เพิ่มเป็น 1 แสนดอลลาร์, การเข้าถึง iCloud โดยไม่ได้รับอนุญาตเป็น 1 ล้านดอลลาร์ เป็นต้น รวมถึงเพิ่มหัวข้อใหม่ในการรายงานช่องโหว่ WebKit เงินรางวัลสูงสุด 3 แสนดอลลาร์ กับช่องโหว่การโจมตีผ่านสัญญาณไร้สายสูงสุด 1 ล้านดอลลาร์ โดยเงินรางวัลทั้งหมดจะเริ่มมีผลตั้งแต่พฤศจิกายน 2025 เป็นต้นไป

By arjin Writer on Tag: Curl, Security, Bug Bounty, Artificial Intelligence
Curl

Daniel Stenberg ผู้สร้าง cURL โพสต์บล็อกรายงานปัญหาที่ทีมพัฒนา cURL กำลังเผชิญจากการรายงานช่องโหว่ความปลอดภัยที่ไม่มีคุณภาพจำนวนมากขึ้น ซึ่งสาเหตุหลักมาจากการใช้ AI ค้นหาช่องโหว่แล้วส่งรายงานโดยไม่ตรวจสอบก่อน

เขาบอกว่าเฉพาะปีนี้ 2025 มีรายงานช่องโหว่ที่ส่งเข้ามาที่ใช้ AI ประมาณ 20% โดยมีเพียง 5% ที่เป็นรายงานช่องโหว่จริง ผลคือทีมงานฝ่ายความปลอดภัยที่มี 7 คน ต้องเสียเวลามากขึ้นกับการตรวจสอบรายงานที่ไม่มีคุณภาพนี้ (การตรวจสอบใช้เวลาราว 0.5-3 ชั่วโมงต่อหนึ่งรายงาน)

By arjin Writer on Tag: Artificial Intelligence, Open Source, LLM, Security, Bug Bounty
Artificial Intelligence

Seth Larson นักพัฒนาที่รับผิดชอบส่วนความปลอดภัยของโครงการ Python Software Foundation โพสต์บล็อกแสดงความกังวลต่อการรายงานปัญหาความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส โดยพบจำนวนการแจ้งปัญหาบั๊กที่คุณภาพต่ำ เป็นสแปม เนื่องจากเป็นรายงานที่ออกมาจากปัญญาประดิษฐ์ LLM เพิ่มมากขึ้น

By arjin Writer on Tag: Google Play, Security, Google, Android, Bug Bounty
Google Play

กูเกิลมีโครงการ Bug Bounty รับรายงานการค้นพบช่องโหว่ในบริการต่าง ๆ พร้อมให้เงินรางวัล ล่าสุดกูเกิลประกาศยุติโครงการจ่ายเงินรางวัล ให้การรายงานช่องโหว่ความปลอดภัยของแอปใน Google Play ซึ่งเป็นส่วนหนึ่งของการรายงานช่องโหว่ผลิตภัณฑ์หลัก Android แล้ว (Google Play Security Reward Program - GPSRP)

By arjin Writer on Tag: Google, Bug Bounty, Security
Google

กูเกิลรายงานการจ่ายเงินรางวัล สำหรับผู้แจ้งบั๊กช่องโหว่ของโครงการ Vulnerability Reward Program (VRP) ในปี 2023 โดยจ่ายเงินไป 10 ล้านดอลลาร์ ให้นักวิจัย 632 ราย ใน 68 ประเทศ

ตัวเลขนี้ลดลงจากปี 2022 ซึ่งกูเกิลจ่ายเงินไป 12 ล้านดอลลาร์ โดยในปีที่ผ่านมา การจ่ายเงินสูงสุดกับนักวิจัยหนึ่งการรายงานคือ 113,337 ดอลลาร์ ตัวเลขสะสมที่กูเกิลจ่ายมาตลอดโครงการนี้ตั้งแต่ปี 2010 คือ 59 ล้านดอลลาร์

By arjin Writer on Tag: Google, Bug Bounty, Security, LLM, Artificial Intelligence
Google

กูเกิลประกาศขยายโครงการ VRP (Vulnerability Reward Program) ที่ให้รายงานช่องโหว่หรือบั๊ก ครอบคลุมถึงหัวข้อ Generative AI ซึ่งกูเกิลบอกว่าถือเป็นการให้ผลตอบแทนสำหรับการวิจัย ที่เกี่ยวข้องกับความปลอดภัยและความเสี่ยงของ AI เพื่อให้ AI เป็นพื้นที่ปลอดภัยของทุกคน

By lew Founder on Tag: Ethereum, Blockchain, Security, Bug Bounty
Ethereum

Jay Freeman นักพัฒนาโครงการ Cydia ที่ใช้เจาะ iOS รายงานช่องโหว่สร้างโทเค็นไม่จำกัดบนเครือข่าย Optimism ที่เป็นเครือข่าย Layer-2 สำหรับการโอน Ethereum อย่างรวดเร็วและประหยัด gas นับเป็นช่องโหว่ที่ร้ายแรงจนกระทั่งทาง Optimism ตัดสินใจจ่ายเงินรางวัล 2 ล้านดอลลาร์ (กับอีก 42 ดอลลาร์)

ช่องโหว่อาศัยคำสั่ง SELFDESTRUCT ของ EVM ที่ Optimism พัฒนาต่อมาจากโครงการ Ethereum โดยหากเรียกคำสั่งนี้จาก smart contract ตัว EVM จะลบ contract ทิ้ง แต่กลับเหลือมูลค่า token ทิ้งไว้ หากโอนเงินแล้วสั่ง SELFDESTRUCT ก็จะเหมือนสร้างเงินขึ้นมาเฉยๆ

By arjin Writer on Tag: Google, Bug Bounty, Security
Google

กูเกิลออกรายงานเกี่ยวกับการให้รางวัลสำหรับผู้แจ้งบั๊กช่องโหว่ในโครงการ VRP (Vulnerability Reward Program) โดยในปี 2021 มีการจ่ายเงินไป 8.7 ล้านดอลลาร์ และมีนักวิจัยเลือกบริจาคเงินรางวัลดังกล่าวให้หน่วยงานการกุศลกว่า 3 แสนดอลลาร์

โครงการ VRP แบ่งการรายงานเป็น 4 หมวด ได้แก่ Android, Chrome, Abuse และ Google Play ในปีที่ผ่านมาหมวด Chrome มีการจ่ายเงินรางวัลมากที่สุดรวม 3.3 ล้านดอลลาร์ จากช่องโหว่ที่รายงาน 333 รายการ มีนักวิจัยได้รับเงินรางวัล 115 ราย ส่วนใหญ่เป็นบั๊กเกี่ยวกับเบราว์เซอร์

By mk Founder on Tag: DHS, USA, Bug Bounty, Security
DHS

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน

โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป

By arjin Writer on Tag: Microsoft, Bug Bounty, Hyper-V
Microsoft

ไมโครซอฟท์ รายงานภาพรวมโครงการ Bug Bounty ในช่วง 1 ปีที่ผ่านมา (1 กรกฎาคม 2020 - 30 มิถุนายน 2021) จ่ายเงินรางวัลไปรวม 13.6 ล้านดอลลาร์ ให้กับผู้วิจัย 340 ราย จาก 58 ประเทศ

เงินรางวัลที่จ่ายให้สูงสุดมูลค่า 200,000 ดอลลาร์ ในโครงการรายงานช่องโหว่ของ Hyper-V มีค่าเฉลี่ยที่ 10,000 ดอลลาร์

ปัจจุบันไมโครซอฟท์มีโครงการรายงานช่องโหว่ 17 โครงการ โดยโครงการของ Hyper-V มีเงินรางวัลสูงสุดที่ 250,000 ดอลลาร์ ในปีที่ผ่านมาได้เพิ่มโครงการใหม่หลายอย่าง อาทิ Microsoft Teams หรือการเข้ารหัส SIKE

By arjin Writer on Tag: Google, Bug Bounty, Security
Google

กูเกิลออกรายงานโครงการ bug bounty หรือรายงานการพบช่องโหว่เพื่อรับเงินรางวัลของปี 2020 ซึ่งจ่ายเงินให้กับนักวิจัยไปรวม 6.7 ล้านดอลลาร์ มีนักวิจัยที่ได้รับเงินทั้งหมด 662 คน จาก 62 ประเทศ เพิ่มขึ้นจากปี 2019 ที่จ่ายไป 6.5 ล้านดอลลาร์

กลุ่มผลิตภัณฑ์ Chrome มีการจ่ายเงินรางวัลสูงสุด 2.1 ล้านดอลลาร์ จากช่องโหว่ 300 รายการ ส่วน Android จ่ายเงินไป 1.74 ล้านดอลลาร์, Google Play 2.7 แสนดอลลาร์

By nutmos Writer on Tag: Google, Bug Bounty, Security
Google

Google ออกรายงานโครงการ bug bounty หรือรายงานช่องโหว่รับเงินรางวัลประจำปี ซึ่งโครงการนี้จัดมาตั้งแต่ปลายปี 2010 โดยตลอดระยะเวลา 9 ปีกว่า ๆ Google ได้มอบรางวัลให้นักวิจัยกว่า 21 ล้านดอลลาร์

Google เผยว่า เมื่อปีที่แล้วทั้งปี โครงการนี้จ่ายเงินให้นักวิจัยไปแล้วกว่า 6.5 ล้านดอลลาร์ กับนักวิจัย 461 คน ทำลายสถิติเดิมของปี 2018 ที่ 3.4 ล้านดอลลาร์กับนักวิจัย 317 คน

By nismod Writer on Tag: Xbox, Bug Bounty, Security, Xbox LIVE
Xbox

ไมโครซอฟท์เปิดโครงการ Xbox Bug Bounty โดยจะเน้นไปที่ช่องโหว่บนเครือข่ายและบริการของ Xbox Live โดยเงินรางวัลจะจ่ายให้ตามความรุนแรงของช่องโหว่ตั้งแต่ 500 เหรียญไปจนถึงสูงสุดอย่างช่องโหว่รันโค้ดทางไกลระดับร้ายแรงที่ 20,000 เหรียญ

ไมโครซอฟท์ระบุไว้ด้วยว่าช่องโหว่หรือปัญหาที่ไม่เข้าข่ายรับเงินรางวัล อาทิ DDoS, CSRF ที่ผลกระทบต่ำ หรือ URL Redirects เป็นต้น สามารถดูรายละเอียดและช่องทางการรายงานช่องโหว่ได้ที่นี่

By nismod Writer on Tag: Kubernetes, Bug Bounty, HackerOne, Security
Kubernetes

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

By nutmos Writer on Tag: Apple, Bug Bounty, Security
Apple

Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์

By lew Founder on Tag: Amazon Echo Show, Pwn2Own, Security, Bug Bounty
Amazon Echo Show

ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon

ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า

By nismod Writer on Tag: Singapore, Security, HackerOne, Bug Bounty
Singapore

HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว

โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้

By nutmos Writer on Tag: Apple, Bug Bounty
Apple

Apple ประกาศขยายโครงการ bug bounty หรือรายงานบั๊กรับเงินรางวัล จากเดิมที่รองรับเฉพาะ iOS ขยายเป็น iPadOS, macOS, tvOS และ watchOS รวมถึงบริการอย่าง iCloud ซึ่งจะมีเงินรางวัลให้สูงสุดถึง 1 ล้านดอลลาร์ จากเดิมที่ 2 แสนดอลลาร์

การขยายโครงการ bug bounty ครั้งนี้มีจุดประสงค์เพื่อให้นักวิจัยด้านความปลอดภัยสนใจการค้นหาช่องโหว่ในตัวซอฟต์แวร์หรือบริการของ Apple มากขึ้น จากเดิมที่เงินรางวัลในโครงการนี้ไม่ค่อยคุ้มค่าและไม่ครอบคลุมระบบปฏิบัติการอื่นนอกจาก iOS ก็ส่งผลให้บางกรณีนักวิจัยเลือกเปิดเผยช่องโหว่แทนที่จะแจ้งให้ ​Apple ทราบ

By mk Founder on Tag: Microsoft Azure, Security, Microsoft, Bug Bounty
Microsoft Azure

ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ

เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด)

Subscribe to Bug Bounty