By lew Founder on Tag: Starbucks, Bug Bounty
Starbucks

ผู้ใช้ HackerOne ชื่อว่า spaceraccoon รายงานถึงเซิร์ฟเวอร์ของสตาบั๊กในสิงคโปร์ที่เป็นเซิร์ฟเวอร์ไม่ได้ใช้งาน แต่กลับรัน CMS เก่าที่ไม่ได้อัพเดตเปิดทางให้แฮกเกอร์รันโค้ดและยึดเซิร์ฟเวอร์ได้

spaceraccoon พบเซิร์ฟเวอร์นี้จากการไล่ชื่อโดเมน (subdomain enumeration) แม้ตัวเว็บไซต์จะมีเพียงข้อความ "this website is not in use" แต่ท้ายเว็บกลับมีชื่อ CMS ระบุไว้เป็นจาวาที่รันอยู่บน Jboss ที่ไม่ได้ล็อก web console เอาไว้

Jboss ที่ใช้งานอยู่เป็นเวอร์ชั่นเก่านานหลายปี มีช่องโหว่ Java deserialization

By nutmos Writer on Tag: Google, Bug Bounty, Security, Privacy, Research
Google

Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว

ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่

By mk Founder on Tag: EU, Europe, Open Source, Bug Bounty
EU

ช่วงหลังเราเห็นโครงการ Bug Bounty แจกเงินรางวัลให้ผู้ค้นพบช่องโหว่หรือบั๊กของซอฟต์แวร์ต่างๆ มากขึ้นเรื่อยๆ แต่ส่วนใหญ่มักเป็นซอฟต์แวร์ของบริษัทใหญ่ๆ ที่มีเงินเหลือเฟือ

ล่าสุด สหภาพยุโรป (EU) ประกาศโครงการ Bug Bounty ให้กับซอฟต์แวร์โอเพนซอร์ส 14 ตัวที่ EU ใช้งาน เช่น Filezilla, Apache Kafka, Apache Tomcat, Notepad++, VLC, PuTTY, 7-Zip, Drupal, glibc, PHP Symfony เป็นต้น

By lew Founder on Tag: Valve, Bug Bounty, Steam
Valve

แฮกเกอร์ผู้ใช้นามแฝงว่า moskowsky รายงานช่องโหว่ของเว็บ partner.steamgames.com ที่หากส่งพารามิเตอร์บางอย่าง (ไม่เปิดเผย) จะทำให้ผู้ใช้สามารถดาวน์โหลดคีย์ของเกมใดๆ ก็ได้ ทั้งหมดที่ผู้ผลิตเกมเคยสร้างคีย์ขึ้นมา

ช่องโหว่นี้รายงานไปยัง Valve ตั้งแต่ต้นเดือนสิงหาคมที่ผ่านมา และทาง Valve แก้ไขแล้วเสร็จในเวลาเพียง 4 วัน และมอบรางวัลให้ moskowsky เป็นเงินตามความร้ายแรง 15,000 ดอลลาร์ และมีโบนัสเพิ่มอีก 5,000 ดอลลาร์

By lew Founder on Tag: Microsoft, Security, Bug Bounty
Microsoft

Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด

By lew Founder on Tag: Facebook, Bug Bounty
Facebook

เฟซบุ๊กประกาศขยายโครงการรางวัลสำหรับรายงานช่องโหว่ (bug bounty) ออกไปสู่แอพภายนอกที่ใช้แพลตฟอร์มเฟซบุ๊กด้วย โดยจำกัดเฉพาะช่องโหว่ที่ทำ access token ของผู้ใช้รั่วไหลเท่านั้น

รายงานช่องโหว่รั่วไหลนี้ต้องเป็นการรั่วไหลจากการ "รับชม" ข้อมูลบนแอพหรือเว็บไซต์เท่านั้น ไม่รวมถึงการโจมตีเว็บไซต์ด้วยวิธีการต่างๆ แนวทางเช่นนี้คือเฟซบุ๊กหาทางลดแอพ "มักง่าย" ที่พัฒนาอย่างไม่ระวังจนทำ access token ของผู้ใช้หลุดออกไป

รางวัลขึ้นกับผลกระทบของรายงานแต่ละครั้ง รางวัลขั้นต่ำ 500 ดอลลาร์

By nismod Writer on Tag: Google, Bug Bounty
Google

Google ประกาศการขยายขอบข่ายของโครงการ Bug Bounty จากเดิมที่รายงานช่องโหว่ความปลอดภัยอย่างเดียว ตอนนี้รับรายงานช่องโหว่ในลักษณะที่ใช้งานแพลตฟอร์มของ Google ไปในทางที่ผิด อาทิ ช่องโหว่บายพาสต์ระบบกู้คืนแอคเคาท์, ช่องโหว่ที่สามารถใช้งานหรือแชร์คอนเทนท์ที่ผิดกฎ หรือที่ทำให้ซื้อสินค้าบนแพลตฟอร์ม Google โดยไม่ต้องจ่ายเงิน เป็นต้น

Google บอกว่าตั้งแต่เปิดโครงการ Bug Bounty รายงานลักษณะนี้ก็มีมาตลอดและบริษัทก็ให้เงินรางวัลมาตลอด ควบคู่กับรายงานช่องโหว่ด้านความปลอดภัย การประกาศครั้งนี้จึงทำให้นักวิจัยสามารถรายงานช่องโหว่ลักษณะดังกล่าวได้อย่างเป็นทางการ

By nutmos Writer on Tag: HP, Bug Bounty, Security
HP

HP เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินรางวัลสำหรับผลิตภัณฑ์เครื่องพิมพ์

โครงการ bug bounty ของ HP นี้จะจ่ายเงินรางวัลตั้งแต่ 500-10,000 ดอลลาร์ต่อช่องโหว่ โดยโครงการนี้เป็นโครงการสำหรับรายงานช่องโหว่ที่เปิดให้ในวงจำกัด และ HP เลือกใช้แพลตฟอร์มของ Bugcrowd สำหรับการรับรายงานช่องโหว่

By nutmos Writer on Tag: Netflix, Bug Bounty
Netflix

Netflix ได้เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินเป็นรางวัลสำหรับบุคคลทั่วไปอย่างเป็นทางการ เพื่อให้นักวิจัยความปลอดภัยสนใจการหาช่องโหว่ของ Netflix มากขึ้น โดย Netflix เลือกใช้แพลตฟอร์มของ Bugcrowd ในโครงการ bug bounty นี้

Netflix มีโครงการ bug bounty มาสักระยะหนึ่งแล้ว แต่ก่อนหน้านี้ยังคงรับรายงานในวงจำกัด โดย Netflix ได้รับแจ้งช่องโหว่ทั้งหมด 275 ครั้ง และเป็นช่องโหว่จริง ๆ กว่า 145 ครั้ง มีความร้ายแรงหลายระดับ ซึ่งการรับรายงานช่องโหว่ทำให้ Netflix สามารถตรวจสอบระบบและปรับปรุงความปลอดภัยได้ดียิ่งขึ้น

By nismod Writer on Tag: GitHub, Bug Bounty, HackerOne
GitHub

GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300

ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty

By lew Founder on Tag: Intel, Bug Bounty
Intel

ช่องโหว่ Meltdown/Spectre ถูกพบมาตั้งแต่กลางปี 2017 และกลายเป็นปัญหาสำหรับผู้ใช้เป็นวงกว้าง สัปดาห์ที่ผ่านมาอินเทลก็ออกมาปรับนโยบายโครงการรายงานช่องโหว่ (bug bounty) เพื่อให้ครอบคลุมช่องโหว่ประเภทนี้แล้ว

Meltdown/Spectre เป็นกลุ่มการโจมตีโดยใช้ข้อมูลข้างเคียง (side-channel attack) คือระยะเวลาการเข้าถึงแคชเพื่อหาข้อมูลจากตำแหน่งอื่น ที่ปกติแล้วซอฟต์แวร์ไม่มีสิทธิ์อ่าน การโจมตีโดยใช้ข้อมูลข้างเคียงนี้ยังมีข้อมูลอื่นๆ ตั้งแต่เสียงพัดลม, ปริมาณการใช้ไฟฟ้า ฯลฯ

By nutmos Writer on Tag: Google, Bug Bounty, Security
Google

Google ออกรายงานโครงการแจ้งช่องโหว่รับรางวัลหรือ bug bounty โดยเผยว่าทางบริษัทได้จ่ายเงินไปแล้ว 12 ล้านดอลลาร์ตั้งแต่เปิดตัวโปรแกรมในเดือนพฤศจิกายนปี 2010 และเฉพาะเมื่อปีที่แล้วทางบริษัทได้จ่ายเงินให้นักวิจัยความปลอดภัยไปแล้วกว่า 2.9 ล้านดอลลาร์ ซึ่งน้อยกว่าปีก่อนหน้าที่ 3 ล้านดอลลาร์เล็กน้อย โดยในปีนี้มีนักวิจัยได้เงินรางวัลทั้งหมด 274 คน และผู้รับรางวัลได้บริจาคเงินให้การกุศลรวมกว่า 160,000 ดอลลาร์

สำหรับเรื่องที่น่าสนใจสำหรับโครงการแจ้งช่องโหว่ของ ​Google ในปี 2017 เช่น

By lew Founder on Tag: DJI, Drone, Security, Bug Bounty
DJI

Sean Melia นักวิจัยความปลอดภัยรายงานช่องโหว่ชุดหนึ่งให้กับ DJI โดยระบุว่าในทั้งหมดที่รายงานมีช่องโหว่ Heartbleed ตั้งแต่ปี 2014, ช่องโหว่รันโค้ดระยะไกลที่ได้สิทธิ์ root, และช่องโหว่ SQL Injection ด้วย แต่ทาง DJI กลับเสนอเงินรางวัลให้เพียง 500 ดอลลาร์

Melia ตอบกลับทาง DJI ว่าขอไม่รับเงินรางวัลและแนะนำว่าไม่ควรมีโครงการแบบนี้ออกมา

ตารางการจ่ายเงินรางวัลของ DJI ระบุเงินรางวัลไว้ตั้งแต่ 100-30,000 ดอลลาร์ โดยช่องโหว่ร้ายแรงสูงที่เข้าถึงข้อมูลผู้ใช้และควบคุมเซิร์ฟเวอร์สำคัญจะมีรางวัลขั้นต่ำ 5,000 ดอลลาร์

By nutmos Writer on Tag: DJI, Bug Bounty
DJI

DJI ผู้ผลิตโดรนชื่อดังออกโครงการ bug bounty ดึงดูดนักวิจัยด้านความปลอดภัยให้หาช่องโหว่ทั้งบนซอฟต์แวร์และโดรน ภายใต้ชื่อว่า DJI Threat Identification Reward Program

จำนวนเงินที่ DJI จ่ายนั้นจะอยู่ที่ 100 จนถึง 30,000 ดอลลาร์ โดยจะพิจารณาตามความร้ายแรงของช่องโหว่ ซึ่งโครงการดังกล่าว DJI กล่าวว่ามีจุดประสงค์หลักอยู่ที่การป้องกันการคุกคามข้อมูลผู้ใช้, วิดีโอ และบันทึก แต่ DJI ก็ยังมองหาปัญหาที่เกี่ยวข้องกับความปลอดภัยการบินด้วย ไม่ว่าจะเป็นระบบพลังงาน, การจำกัดพื้นที่บินของโดรน และการจำกัดความสูงของโดรน

By lew Founder on Tag: Windows, Bug Bounty, Microsoft
Windows

ไมโครซอฟท์เปิดโครงการ Windows Bounty Program สำหรับวินโดวส์ทั้งเซิร์ฟเวอร์และไคลเอนต์ทั้งหมด โดยรวม Edge เข้ามาด้วย

โครงการนี้เริ่มที่ Windows Insider Preview เป็นพื้นฐาน รางวัล 500 ถึง 15,000 ดอลลาร์ แล้วเพิ่มเติมบริการอื่น ได้แก่ Edge 500-15,000 ดอลลาร์, Windows Defender Application Guard 500-30,000 ดอลลาร์, mitigation bypass 500-200,000 ดอลลาร์ และที่รางวัลสูงสุดคือ Hyper-V ที่ครอบคลุมทั้ง Windows 10 รุ่นปกติ, Windows Server 2012 ไปจนถึง Windows Server Insider Preview รางวัล 5,000-200,000 ดอลลาร์

By lew Founder on Tag: HackerOne, Bug Bounty
HackerOne

กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์

By lew Founder on Tag: Google, Bug Bounty, Microsoft
Google

โครงการรายงานช่องโหว่แลกรางวัลของกูเกิล (Google VRP) ประกาศเพิ่มเพดานรางวัลจากเดิม 20,000 ดอลลาร์เป็น 31,337 หรือเพิ่มขึ้นกว่า 50% โดยระบุเหตุผลว่าช่องโหว่ระดับสูงใช้เวลาค้นหานานขึ้นมาในช่วงปีที่ผ่านมา

ช่องโหว่รันโค้ดจากระยะไกลจึงได้เพดานรางวัล 31,337 ดอลลาร์ ขณะที่ช่องโหว่อื่นรางวัลอาจจะเพิ่มในสัดส่วนต่างกัน เช่น ช่องโหว่เข้าถึงระบบไฟล์จะอยู่ที่ 13,337 ดอลลาร์ เพิ่มจาก 10,000 ดอลลาร์

By lew Founder on Tag: Yelp, Bug Bounty
Yelp

ช่วงปีที่ผ่านมาเว็บและบริการที่เข้าถึงจากอินเทอร์เน็ตจำนวนมากพากันเปิดโครงการรายงานช่องโหว่แลกเงินรางวัล โดยข้อดีที่เรามักเห็นกันคือบริการเหล่านี้ได้รับการตรวจสอบอย่างถี่ถ้วนมาก และภาพลักษณ์ของบริการก็ดีขึ้นไปพร้อมกัน เช่น Pornhub ที่มีนักวิจัยรายงานช่องโหว่ระดับสูงเข้าไป ล่าสุด Michael Stoppelman รองประธานฝ่ายวิศวกรรมของ Yelp ก็ออกมาบอกข้อดีอีกประการของโครงการเช่นนี้ว่าทำให้บริษัทจ้างคนได้ง่ายขึ้นด้วย

By lew Founder on Tag: HackerOne, Hacking, Security, Bug Bounty
HackerOne

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

By lew Founder on Tag: Tor, Bug Bounty, Security
Tor

แนวทางการรักษาความปลอดภัยซอฟต์แวร์และบริการคงเป็นมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์รายใหญ่ๆ ในโลกจำนวนมาก แต่โครงการรายงานช่องโหว่แลกเงินรางวัลรอบล่าสุดกลับมาจากตลาดมืดใต้ดินที่ชื่อว่า HANSA (http://hansamkt2rr6nfg3.onion)

ประกาศของ HANSA แบ่งช่องโหว่ออกเป็นสามระดับ ได้แก่ ระดับสำคัญยิ่งยวด โดยอาจจะเปิดเผยหมายเลขไอพีผู้ใช้หรือเซิร์ฟเวอร์หรือเปิดเผยข้อมูลส่วนตัวอื่นๆ ได้รางวัล 10BTC, รางวัลสำคัญรองๆ ลงมา 1BTC, และบั๊กเล็กน้อยรางวัล 0.05BTC

Subscribe to Bug Bounty