By lew Founder on Tag: Google, Security, Bug Bounty
Google

กูเกิลรายงานสรุปโครงการรายงานช่องโหว่ซอฟต์แวร์โดยมีเงินรางวัล (bug bounty) สรุปยอดรวมของปี 2016 จ่ายเงินไปทั้งสิ้นกว่า 3 ล้านดอลลาร์

ข้อมูลเพิ่มเติมของเงินรางวัลในปี 2016 ได้แก่

By lew Founder on Tag: USA, Military, Security, Bug Bounty
USA

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

By frameonthai Contributor on Tag: NETGEAR, Bug Bounty, Security
NETGEAR

Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล

โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น

ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น

By lew Founder on Tag: Shopify, Bug Bounty, Security
Shopify

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

By lew Founder on Tag: Qualcomm, Bug Bounty, Security
Qualcomm

โครงการหาช่องโหว่ความปลอดภัยแลกรางวัลได้รับความนิยมในหมู่ผู้ผลิตซอฟต์แวร์ และผู้ให้บริการผ่านอินเทอร์เน็ตจำนวนมาก แต่ตอนนี้ผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm ก็หันมาเปิดโครงการเช่นนี้บ้างแล้ว

ทาง Qualcomm จะจำกัดเฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น โดยระบุว่าบริษัทจะเชิญนักวิจัยเข้าร่วมโครงการเพิ่มเติมเรื่อยๆ ตัวโครงการครอบคลุมฮาร์ดแวร์ Snapdragon 400, 615, 801, 808, 810, 820, 821 และโมเด็ม X5, X7, X12, X16 พร้อมกับซอฟต์แวร์ทั้งตัวลินุกซ์เคอร์เนลและเฟิร์มแวร์ ตลอดจนระบบ TrustZone และซอฟต์แวร์อื่นๆ ที่รันในสิทธิ์ root

By nutmos Writer on Tag: Bug Bounty, Facebook
Bug Bounty

โครงการ Facebook Bug Bounty ได้ประกาศว่า ในช่วงระยะเวลา 5 ปีของโครงการ bug bounty ของบริษัทได้จ่ายเงินไปแล้วกว่า 5 ล้านดอลลาร์ ให้นักวิจัยและผู้รายงานบั๊กกว่า 900 คน

Joey Tyson วิศวกรด้านความปลอดภัยของ Facebook ได้กล่าวว่าโครงการนี้จะไม่สำเร็จได้เลยถ้าไม่ได้รับความร่วมมือจากนักวิจัยความปลอดภัยในวงกว้าง

Facebook นั้นไมไ่ด้เปิดเผยว่าได้รับรายงานบั๊กเป็นจำนวนเท่าไรใน 5 ปีตั้งแต่เริ่มโครงการ โดยบอกเพียงแค่ครึ่งปีแรกที่มีรายงาน 9 พันครั้ง ซึ่งนักวิจัยจากประเทศอินเดีย, สหรัฐฯ และเม็กซิโกเป็นสามประเทศแรกที่มีนักวิจัยได้เงินจาก Facebook รวมแล้วเป็นจำนวนมากที่สุด

By lew Founder on Tag: Chrome, Security, Bug Bounty
Chrome

Chrome OS ออกอัพเดต 53.0.2785.144 แก้ไขชุดช่องโหว่ระดับสูงสุด คือสามารถฝังโค้ดไว้ในเครื่องเมื่อรันจากโหมด guest และโค้ดนี้สามารถใช้งานได้แม้จะบูตเครื่องใหม่แล้วก็ตาม

ปกติแล้ว Chrome OS มีระบบการตรวจสอบความถูกต้องของซอฟต์แวร์ระหว่างการบูตที่แน่นหนาอย่างมาก โครงการให้รางวัลรายงานช่องโหว่ของ Chrome นั้นจัดรางวัลสำหรับช่องโหว่แบบนี้แยกจากช่องโหว่อื่นๆ ให้รางวัลถึง 100,000 ดอลลาร์ ขณะที่ช่องโหว่อื่นมีรางวัลไม่เกิน 15,000 ดอลลาร์เท่านั้น

By lew Founder on Tag: Yelp, Bug Bounty
Yelp

เว็บรีวิวร้านอาหาร Yelp ประกาศเปิดโครงการให้เงินรางวัลสำหรับการรายงานช่องโหว่ (bug bounty) มูลค่าสูงสุด 15,000 ดอลลาร์ บนเว็บ, บล็อก, เว็บจัดการการจองร้าน, และแอปบนโทรศัพท์มือถือ

ทาง Yelp ระบุว่าที่จริงแล้วบริษัทมีโครงการแบบนี้มาสองปีแล้ว แต่เป็นโครงการภายในที่ไม่ได้เปิดเผยต่อสาธารณะ และแก้ไขช่องโหว่ไปแล้วหลายร้อยรายการจากนักวิจัยหลายสิบคน การเปิดโครงการนี้เป็นการเปิดต่อสาธารณะเป็นครั้งแรก

หน้าโครงการใน HackerOne แสดงประวัติการจ่ายเงินรางวัลก่อนที่จะเปิดโครงการมาตั้งแต่สองปีที่แล้ว รางวัลส่วนมากอยู่ในช่วง 500 ถึง 1,000 ดอลลาร์

By lew Founder on Tag: Apple, Security, Bug Bounty
Apple

แอปเปิลประกาศเปิดโครงการหาบั๊กความปลอดภัยล่ารางวัลในงาน Blackhat โดยมีรางวัลสูงสุดถึง 200,000 ดอลลาร์ อย่างไรก็ดีโครงการนี้ไม่เปิดให้คนทั่วไป แต่ต้องเป็นนักวิจัยที่แอปเปิลเชิญเข้ามาเท่านั้น

การจัดหมวดหมู่ช่องโหว่แต่ละระดับรางวัลต่างกันไป ได้แก่

By lew Founder on Tag: Pornhub, Security, Bug Bounty
Pornhub

Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์

By lew Founder on Tag: Fiat Chrysler, Automobile, Security, Bug Bounty
Fiat Chrysler

ปัญหาความปลอดภัยของระบบคอมพิวเตอร์ในรถร้ายแรงขึ้นเรื่อยๆ ในช่วงหลัง ตอนนี้ผู้ผลิตรถยนต์อันดับเจ็ดของโลกอย่าง Fiat Chrysler (FCA) ก็เปิดโครงการรวมกับเว็บ Bugcrowd

โครงการนี้เกิดขึ้นเกือบหนึ่งปีหลังจากรถยนต์ของ FCA เองมีช่องโหว่ร้ายแรงจนกระทั่งแฮกเกอร์สามารถเข้าควบคุมรถจากระยะไกล และบริษัทต้องอัพเดตรถจำนวน 1.4 ล้านคัน

By lew Founder on Tag: Pornhub, Security, Bug Bounty
Pornhub

Pornhub เพิ่งเปิดโครงการหาช่องโหว่เว็บเมื่อต้นเดือนที่ผ่านมา ตอนนี้โครงการได้รับความสนใจสูงโดยทางเว็บได้รับรายงานหลายพันรายการ ทางเว็บระบุว่าได้เรียนรู้หลายอย่างและกำลังเพิ่มพนักงานเพื่อให้ตอบสนองต่อรายงานที่เข้ามาได้เร็วขึ้น เพิ่มเงินรางวัล และเพิ่มบริการ Pornhub Premium เข้าโครงการ

นอกจากเงินรางวัลแล้ว ทางเว็บจะแจกเสื้อยืดสำหรับนักวิจัยที่พบช่องโหว่ให้อีกด้วย

By lew Founder on Tag: Pornhub, Security, Bug Bounty
Pornhub

Pornhub ประกาศรางวัลสำหรับการแจ้งช่องโหว่เว็บ มูลค่าตั้งแต่ 50 ดอลลาร์ไปจนถึง 25,000 ดอลลาร์ โดยครอบคลุมเว็บทุกโดเมนของ pornhub.com

เงื่อนไขของการรับรางวัล ได้แก่ ต้องแจ้งช่องโหว่ภายใน 24 ชั่วโมงหลังพบ, ทางเว็บมีเวลาตอบกลับ 30 วัน เวลาแก้ไขอีก 90 วัน และต้องไม่โพสในแง่ลบต่อโครงการหรือตัวเว็บ, การตรวจสอบต้องไม่ทำให้บริการโดยรวมแย่ลง ไม่ใช้เครื่องมือทดสอบอัตโนมัติ, การเข้าถึงข้อมูลบัญชีต้องเป็นบัญชีของตัวเองเท่านั้น และไม่ดึงข้อมูลผู้ใช้อื่นไปเปิดเผย

จากประวัติของ Pornhub ทางเว็บเคยให้รางวัลแฮกเกอร์บางคนมาก่อนแล้ว แต่เพิ่งเปิดโครงการเป็นทางการก็วันนี้

Subscribe to Bug Bounty