Tags:
Node Thumbnail

ผู้ใช้ HackerOne ชื่อว่า spaceraccoon รายงานถึงเซิร์ฟเวอร์ของสตาบั๊กในสิงคโปร์ที่เป็นเซิร์ฟเวอร์ไม่ได้ใช้งาน แต่กลับรัน CMS เก่าที่ไม่ได้อัพเดตเปิดทางให้แฮกเกอร์รันโค้ดและยึดเซิร์ฟเวอร์ได้

spaceraccoon พบเซิร์ฟเวอร์นี้จากการไล่ชื่อโดเมน (subdomain enumeration) แม้ตัวเว็บไซต์จะมีเพียงข้อความ "this website is not in use" แต่ท้ายเว็บกลับมีชื่อ CMS ระบุไว้เป็นจาวาที่รันอยู่บน Jboss ที่ไม่ได้ล็อก web console เอาไว้

Jboss ที่ใช้งานอยู่เป็นเวอร์ชั่นเก่านานหลายปี มีช่องโหว่ Java deserialization

ทาง Starbucks (ชื่อผู้ใช้ coldbr3w) รับเรื่อง หลายรายงานหนึ่งวันและเว็บไซต์นี้ก็ถูกปิดตัวลง พร้อมจะจ่ายรางวัลระดับสูงสุดตามโครงการรายงานช่องโหว่ของ Starbucks มูลค่า 4,000 ดอลลาร์

Tags:
Node Thumbnail

Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว

ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่

Tags:
Node Thumbnail

ช่วงหลังเราเห็นโครงการ Bug Bounty แจกเงินรางวัลให้ผู้ค้นพบช่องโหว่หรือบั๊กของซอฟต์แวร์ต่างๆ มากขึ้นเรื่อยๆ แต่ส่วนใหญ่มักเป็นซอฟต์แวร์ของบริษัทใหญ่ๆ ที่มีเงินเหลือเฟือ

ล่าสุด สหภาพยุโรป (EU) ประกาศโครงการ Bug Bounty ให้กับซอฟต์แวร์โอเพนซอร์ส 14 ตัวที่ EU ใช้งาน เช่น Filezilla, Apache Kafka, Apache Tomcat, Notepad++, VLC, PuTTY, 7-Zip, Drupal, glibc, PHP Symfony เป็นต้น

Tags:
Node Thumbnail

แฮกเกอร์ผู้ใช้นามแฝงว่า moskowsky รายงานช่องโหว่ของเว็บ partner.steamgames.com ที่หากส่งพารามิเตอร์บางอย่าง (ไม่เปิดเผย) จะทำให้ผู้ใช้สามารถดาวน์โหลดคีย์ของเกมใดๆ ก็ได้ ทั้งหมดที่ผู้ผลิตเกมเคยสร้างคีย์ขึ้นมา

ช่องโหว่นี้รายงานไปยัง Valve ตั้งแต่ต้นเดือนสิงหาคมที่ผ่านมา และทาง Valve แก้ไขแล้วเสร็จในเวลาเพียง 4 วัน และมอบรางวัลให้ moskowsky เป็นเงินตามความร้ายแรง 15,000 ดอลลาร์ และมีโบนัสเพิ่มอีก 5,000 ดอลลาร์

Tags:
Node Thumbnail

Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด

เขารายงานช่องโหว่พร้อมโค้ดตัวอย่าง ตั้งแต่เดือนกุมพาพันธ์ที่ผ่านมา แม้ทีมงาน MSRC (Microsoft Security Response Center) ของไมโครซอฟท์จะส่งผู้จัดการเคสมารับเรื่องอย่างรวดเร็ว แต่การสื่อสารก็ขาดช่วง และสุดท้ายหลังจากผ่านไปเกือบสี่เดือนไมโครซอฟท์ก็แจ้งว่าความร้ายแรงของช่องโหว่ต่ำกว่าระดับที่ MSRC รับดูแล และการรายงานของ Matt ก็ถูกปิดเคสไป

Tags:
Node Thumbnail

เฟซบุ๊กประกาศขยายโครงการรางวัลสำหรับรายงานช่องโหว่ (bug bounty) ออกไปสู่แอพภายนอกที่ใช้แพลตฟอร์มเฟซบุ๊กด้วย โดยจำกัดเฉพาะช่องโหว่ที่ทำ access token ของผู้ใช้รั่วไหลเท่านั้น

รายงานช่องโหว่รั่วไหลนี้ต้องเป็นการรั่วไหลจากการ "รับชม" ข้อมูลบนแอพหรือเว็บไซต์เท่านั้น ไม่รวมถึงการโจมตีเว็บไซต์ด้วยวิธีการต่างๆ แนวทางเช่นนี้คือเฟซบุ๊กหาทางลดแอพ "มักง่าย" ที่พัฒนาอย่างไม่ระวังจนทำ access token ของผู้ใช้หลุดออกไป

รางวัลขึ้นกับผลกระทบของรายงานแต่ละครั้ง รางวัลขั้นต่ำ 500 ดอลลาร์

Tags:
Node Thumbnail

Google ประกาศการขยายขอบข่ายของโครงการ Bug Bounty จากเดิมที่รายงานช่องโหว่ความปลอดภัยอย่างเดียว ตอนนี้รับรายงานช่องโหว่ในลักษณะที่ใช้งานแพลตฟอร์มของ Google ไปในทางที่ผิด อาทิ ช่องโหว่บายพาสต์ระบบกู้คืนแอคเคาท์, ช่องโหว่ที่สามารถใช้งานหรือแชร์คอนเทนท์ที่ผิดกฎ หรือที่ทำให้ซื้อสินค้าบนแพลตฟอร์ม Google โดยไม่ต้องจ่ายเงิน เป็นต้น

Google บอกว่าตั้งแต่เปิดโครงการ Bug Bounty รายงานลักษณะนี้ก็มีมาตลอดและบริษัทก็ให้เงินรางวัลมาตลอด ควบคู่กับรายงานช่องโหว่ด้านความปลอดภัย การประกาศครั้งนี้จึงทำให้นักวิจัยสามารถรายงานช่องโหว่ลักษณะดังกล่าวได้อย่างเป็นทางการ

Tags:
Node Thumbnail

HP เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินรางวัลสำหรับผลิตภัณฑ์เครื่องพิมพ์

โครงการ bug bounty ของ HP นี้จะจ่ายเงินรางวัลตั้งแต่ 500-10,000 ดอลลาร์ต่อช่องโหว่ โดยโครงการนี้เป็นโครงการสำหรับรายงานช่องโหว่ที่เปิดให้ในวงจำกัด และ HP เลือกใช้แพลตฟอร์มของ Bugcrowd สำหรับการรับรายงานช่องโหว่

โครงการ bug bounty สำหรับเครื่องพิมพ์ของ HP จะเน้นไปที่เครื่องพิมพ์สำหรับใช้ในองค์กรหรือสำนักงาน เนื่องจากเครื่องพิมพ์เหล่านี้มักถูกเชื่อมต่อกับระบบเครือข่าย ซึ่งมีความอ่อนไหวต่อการเจาะและเป็นภัยต่อเครือข่ายในองค์กรได้ง่าย โดย HP บอกว่าบริษัทถือเป็นรายแรกที่ออกโครงการ bug bounty สำหรับเครื่องพิมพ์ และทางบริษัทมีแผนจะขยายโครงการนี้ไปยังพีซีด้วย

Tags:
Node Thumbnail

Netflix ได้เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินเป็นรางวัลสำหรับบุคคลทั่วไปอย่างเป็นทางการ เพื่อให้นักวิจัยความปลอดภัยสนใจการหาช่องโหว่ของ Netflix มากขึ้น โดย Netflix เลือกใช้แพลตฟอร์มของ Bugcrowd ในโครงการ bug bounty นี้

Netflix มีโครงการ bug bounty มาสักระยะหนึ่งแล้ว แต่ก่อนหน้านี้ยังคงรับรายงานในวงจำกัด โดย Netflix ได้รับแจ้งช่องโหว่ทั้งหมด 275 ครั้ง และเป็นช่องโหว่จริง ๆ กว่า 145 ครั้ง มีความร้ายแรงหลายระดับ ซึ่งการรับรายงานช่องโหว่ทำให้ Netflix สามารถตรวจสอบระบบและปรับปรุงความปลอดภัยได้ดียิ่งขึ้น

Tags:
Node Thumbnail

GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300

ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty

Tags:
Node Thumbnail

ช่องโหว่ Meltdown/Spectre ถูกพบมาตั้งแต่กลางปี 2017 และกลายเป็นปัญหาสำหรับผู้ใช้เป็นวงกว้าง สัปดาห์ที่ผ่านมาอินเทลก็ออกมาปรับนโยบายโครงการรายงานช่องโหว่ (bug bounty) เพื่อให้ครอบคลุมช่องโหว่ประเภทนี้แล้ว

Meltdown/Spectre เป็นกลุ่มการโจมตีโดยใช้ข้อมูลข้างเคียง (side-channel attack) คือระยะเวลาการเข้าถึงแคชเพื่อหาข้อมูลจากตำแหน่งอื่น ที่ปกติแล้วซอฟต์แวร์ไม่มีสิทธิ์อ่าน การโจมตีโดยใช้ข้อมูลข้างเคียงนี้ยังมีข้อมูลอื่นๆ ตั้งแต่เสียงพัดลม, ปริมาณการใช้ไฟฟ้า ฯลฯ

Tags:
Node Thumbnail

Google ออกรายงานโครงการแจ้งช่องโหว่รับรางวัลหรือ bug bounty โดยเผยว่าทางบริษัทได้จ่ายเงินไปแล้ว 12 ล้านดอลลาร์ตั้งแต่เปิดตัวโปรแกรมในเดือนพฤศจิกายนปี 2010 และเฉพาะเมื่อปีที่แล้วทางบริษัทได้จ่ายเงินให้นักวิจัยความปลอดภัยไปแล้วกว่า 2.9 ล้านดอลลาร์ ซึ่งน้อยกว่าปีก่อนหน้าที่ 3 ล้านดอลลาร์เล็กน้อย โดยในปีนี้มีนักวิจัยได้เงินรางวัลทั้งหมด 274 คน และผู้รับรางวัลได้บริจาคเงินให้การกุศลรวมกว่า 160,000 ดอลลาร์

สำหรับเรื่องที่น่าสนใจสำหรับโครงการแจ้งช่องโหว่ของ ​Google ในปี 2017 เช่น

Tags:
Node Thumbnail

Sean Melia นักวิจัยความปลอดภัยรายงานช่องโหว่ชุดหนึ่งให้กับ DJI โดยระบุว่าในทั้งหมดที่รายงานมีช่องโหว่ Heartbleed ตั้งแต่ปี 2014, ช่องโหว่รันโค้ดระยะไกลที่ได้สิทธิ์ root, และช่องโหว่ SQL Injection ด้วย แต่ทาง DJI กลับเสนอเงินรางวัลให้เพียง 500 ดอลลาร์

Melia ตอบกลับทาง DJI ว่าขอไม่รับเงินรางวัลและแนะนำว่าไม่ควรมีโครงการแบบนี้ออกมา

ตารางการจ่ายเงินรางวัลของ DJI ระบุเงินรางวัลไว้ตั้งแต่ 100-30,000 ดอลลาร์ โดยช่องโหว่ร้ายแรงสูงที่เข้าถึงข้อมูลผู้ใช้และควบคุมเซิร์ฟเวอร์สำคัญจะมีรางวัลขั้นต่ำ 5,000 ดอลลาร์

Tags:
Topics: 
Node Thumbnail

DJI ผู้ผลิตโดรนชื่อดังออกโครงการ bug bounty ดึงดูดนักวิจัยด้านความปลอดภัยให้หาช่องโหว่ทั้งบนซอฟต์แวร์และโดรน ภายใต้ชื่อว่า DJI Threat Identification Reward Program

จำนวนเงินที่ DJI จ่ายนั้นจะอยู่ที่ 100 จนถึง 30,000 ดอลลาร์ โดยจะพิจารณาตามความร้ายแรงของช่องโหว่ ซึ่งโครงการดังกล่าว DJI กล่าวว่ามีจุดประสงค์หลักอยู่ที่การป้องกันการคุกคามข้อมูลผู้ใช้, วิดีโอ และบันทึก แต่ DJI ก็ยังมองหาปัญหาที่เกี่ยวข้องกับความปลอดภัยการบินด้วย ไม่ว่าจะเป็นระบบพลังงาน, การจำกัดพื้นที่บินของโดรน และการจำกัดความสูงของโดรน

ผู้ที่สามารถค้นพบช่องโหว่ของซอฟต์แวร์และโดรนของ DJI สามารถส่งอีเมลไปรายงานช่องโหว่ได้ที่ bugbounty@dji.com

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดโครงการ Windows Bounty Program สำหรับวินโดวส์ทั้งเซิร์ฟเวอร์และไคลเอนต์ทั้งหมด โดยรวม Edge เข้ามาด้วย

โครงการนี้เริ่มที่ Windows Insider Preview เป็นพื้นฐาน รางวัล 500 ถึง 15,000 ดอลลาร์ แล้วเพิ่มเติมบริการอื่น ได้แก่ Edge 500-15,000 ดอลลาร์, Windows Defender Application Guard 500-30,000 ดอลลาร์, mitigation bypass 500-200,000 ดอลลาร์ และที่รางวัลสูงสุดคือ Hyper-V ที่ครอบคลุมทั้ง Windows 10 รุ่นปกติ, Windows Server 2012 ไปจนถึง Windows Server Insider Preview รางวัล 5,000-200,000 ดอลลาร์

Tags:
Node Thumbnail

กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์

Tags:
Node Thumbnail

โครงการรายงานช่องโหว่แลกรางวัลของกูเกิล (Google VRP) ประกาศเพิ่มเพดานรางวัลจากเดิม 20,000 ดอลลาร์เป็น 31,337 หรือเพิ่มขึ้นกว่า 50% โดยระบุเหตุผลว่าช่องโหว่ระดับสูงใช้เวลาค้นหานานขึ้นมาในช่วงปีที่ผ่านมา

ช่องโหว่รันโค้ดจากระยะไกลจึงได้เพดานรางวัล 31,337 ดอลลาร์ ขณะที่ช่องโหว่อื่นรางวัลอาจจะเพิ่มในสัดส่วนต่างกัน เช่น ช่องโหว่เข้าถึงระบบไฟล์จะอยู่ที่ 13,337 ดอลลาร์ เพิ่มจาก 10,000 ดอลลาร์

พร้อมๆ กับการประกาศของกูเกิล ไมโครซอฟท์ก็ประกาศเพิ่มรางวัลเป็นกรณีพิเศษให้กับการายงานช่องโหว่ของ Office 365 และ Exchange Online โดยเพิ่มรางวัลเป็นสองเท่าตัว สูงสุด 30,000 ดอลลาร์ บนบริการของโดเมน portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com, และ outlook.com

Tags:
Node Thumbnail

ช่วงปีที่ผ่านมาเว็บและบริการที่เข้าถึงจากอินเทอร์เน็ตจำนวนมากพากันเปิดโครงการรายงานช่องโหว่แลกเงินรางวัล โดยข้อดีที่เรามักเห็นกันคือบริการเหล่านี้ได้รับการตรวจสอบอย่างถี่ถ้วนมาก และภาพลักษณ์ของบริการก็ดีขึ้นไปพร้อมกัน เช่น Pornhub ที่มีนักวิจัยรายงานช่องโหว่ระดับสูงเข้าไป ล่าสุด Michael Stoppelman รองประธานฝ่ายวิศวกรรมของ Yelp ก็ออกมาบอกข้อดีอีกประการของโครงการเช่นนี้ว่าทำให้บริษัทจ้างคนได้ง่ายขึ้นด้วย

Tags:
Node Thumbnail

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

Tags:
Node Thumbnail

แนวทางการรักษาความปลอดภัยซอฟต์แวร์และบริการคงเป็นมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์รายใหญ่ๆ ในโลกจำนวนมาก แต่โครงการรายงานช่องโหว่แลกเงินรางวัลรอบล่าสุดกลับมาจากตลาดมืดใต้ดินที่ชื่อว่า HANSA (http://hansamkt2rr6nfg3.onion)

ประกาศของ HANSA แบ่งช่องโหว่ออกเป็นสามระดับ ได้แก่ ระดับสำคัญยิ่งยวด โดยอาจจะเปิดเผยหมายเลขไอพีผู้ใช้หรือเซิร์ฟเวอร์หรือเปิดเผยข้อมูลส่วนตัวอื่นๆ ได้รางวัล 10BTC, รางวัลสำคัญรองๆ ลงมา 1BTC, และบั๊กเล็กน้อยรางวัล 0.05BTC

Tags:
Node Thumbnail

กูเกิลรายงานสรุปโครงการรายงานช่องโหว่ซอฟต์แวร์โดยมีเงินรางวัล (bug bounty) สรุปยอดรวมของปี 2016 จ่ายเงินไปทั้งสิ้นกว่า 3 ล้านดอลลาร์

ข้อมูลเพิ่มเติมของเงินรางวัลในปี 2016 ได้แก่

Tags:
Node Thumbnail

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

ช่องโหว่ชุดหนึ่งเจาะทะลุจากเว็บรับสมัครทหาร goarmy.com แล้วพบว่ามีพรอกซี่ภายในเปิดอยู่ทำให้นักวิจัยสามารถทะลุเข้าเน็ตเวิร์คภายในของกองทัพได้ นับเป็นช่องโหว่ที่ร้ายแรงที่สุดในรายการนี้

Tags:
Node Thumbnail

หลังจากมีข่าวอุปกรณ์ของ Netgear ถูกพบช่องโหว่และได้รับการแก้ไขเรียบร้อยแล้ว ข่าวเดิม ทาง Netgear ได้ออกมาประกาศเปิดโครงการหาช่องโหว่ผลิตภัณฑ์ โดยการให้เงินรางวัลสูงสุดถึง 15,000 USD สำหรับผู้พบช่องโหว่
โดยโครงการนี้จะมอบเงินรางวัลแก่นักวิจัยด้านความปลอดภัย หรือเรียกว่า กลุ่ม white hat hacker ที่สามารถรายงานช่องโหว่ของอุปกรณ์ที่อันตรายโดยเงินรางวัลเริ่มตั้งแต่ 150 ถึง 15,000 USD โดยสามารถรายงานช่องโหว่ที่พบทั้งใน ฮาร์ดแวร์,APIs และ Mobile apps ที่เป็นผลิตภัณฑ์ของ Netgear

Tags:
Node Thumbnail

Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล

โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น

ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น

Tags:
Node Thumbnail

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

โครงการ Shopify Scripts ให้รางวัลสูงสุด 20,000 ดอลลาร์สำหรับช่องโหว่ระดับสูง และลดหลั่นไปเรื่อยๆ หลังเปิดโครงการ ทาง Shopify ได้รับรายงานจำนวนมาก มีช่องโหว่ระดับสูงนับสิบรายการ จนกระทั่งเมื่อสัปดาห์ที่แล้วทางโครงการต้องประกาศลดเงินรางวัลลงเหลือสูงสุดเพียง 2,000 ดอลลาร์

Pages