Sony Interactive Entertainment บริษัทแม่ของ PlayStation ประกาศเปิดตัวโครงการ PlayStation Bug Bounty ร่วมกับ HackerOne ให้นักวิจัยและแฮกเกอร์หมวกขาวค้นหาและรายงานช่องโหว่ความปลอดภัยบน PSN และ PlayStation 4

เงินรางวัลของ PlayStation Bug Bounty จากช่องโหว่ระดับวิกฤติเริ่มที่ 50,000 เหรียญ โดยโซนี่ระบุว่ารันโปรแกรม Bug Bounty เป็นการภายในกับนักวิจัยมาแล้วระยะหนึ่งก่อนจะตัดสินใจเปิดโครงการเป็นสาธารณะ รายละเอียดอื่น ๆ รวมถึงช่องทางการส่งรายงานสามารถดูได้จากหน้า HackerOne

ที่มา - PlayStation Blog

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

ที่มา - Hacker One

HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว

โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้

นักวิจัยจากบริษัท VI Company รายงานถึงช่องโหว่ของบริการ Coinbase Wallet ที่เปิดให้ผู้ใช้สามารถเปลี่ยนแปลงเลขจำนวนเงิน Ethereum ในบัญชีของตัวเองได้จนพอใจ และทาง Coinbase แก้ปัญหานี้แล้วตั้งแต่เดือนมกราคมที่ผ่านมา โดยไม่มีรายงานว่ามีแฮกเกอร์ใช้ช่องโหว่นี้เพื่อขโมยเงินออกไป

นักวิจัยสังเกตความผิดปกติเพื่อพยายามส่งเงินเข้าไปยัง Coinbase Wallet โดยใช้ smart contract ที่ส่งเงินออกไปยังหลายบัญชีพร้อมๆ กัน แต่ระหว่างทางเกิดความผิดพลาด เช่น แก๊สหมด ทำให้ transaction ถูกยกเลิก และเงินที่ถูกโอนถูกยกเลิกไปด้วย แต่ Coinbase Wallet กลับแจ้งว่าได้รับเงินเรียบร้อยแล้ว หากผู้ที่รู้ช่องโหว่นี้มุ่งร้ายก็อาจจจะถอนเงินออกไปตามจำนวนที่ Wallet แจ้งไว้

GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300

ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty

กองทัพอากาศสหรัฐร่วมกับ HackerOne ผู้ให้บริการแพลตฟอร์มค้นหาบั๊คจัดงาน Hack the Air Force 2.0 เป็นเวลา 20 วัน เพื่อเปิดโอกาสให้แฮกเกอร์เจาะระบบของกองทัพอากาศและค้นหาช่องโหว่ต่างๆ โดยวันที่ 9 กุมภาพันธ์ที่ผ่านมาซึ่งเป็นวันแรกของงาน กองทัพอากาศได้จัดเป็นอีเวนท์ให้แฮกเกอร์ได้แฮกกันสดๆ ในงานเป็นครั้งแรกด้วย

กองทัพอากาศสหรัฐเผยข้อมูลว่า ตั้งแต่วันที่ 9 ถึง 15 กุมภาพันธ์ที่ผ่านมา มีการค้นพบช่องโหว่ไปแล้วทั้งหมด 106 ช่องโหว่และกองทัพอากาศจ่ายเงินรางวัลไปแล้วกว่า 103,883 ดอลลาร์สหรัฐ โดยวันที่ 9 ที่เป็นการจัดงานสด มีการพบช่องโหว่มากถึง 55 ช่องโหว่และแฮกเกอร์ที่พบช่องโหว่ที่ร้ายแรงที่สุด ได้เงินรางวัลไปถึง 12,500 ดอลลาร์

เราเห็นบริษัทไอทีหลายบริษัทตั้งรางวัลให้กับผู้ที่พบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เนืองๆ (Bug Bounty) บ้างก็มีโครงการเป็นการภายในอย่างของ Google บ้างก็ใช้งานบริษัทภายนอก ซึ่ง HackerOne ถือเป็นผู้ให้บริการและเจ้าของแพลตฟอร์มรายงานชองโหว่ที่ใหญ่ที่สุดเจ้าหนึ่ง

HackerOne ได้ออกรายงาน "The 2018 Hacker Report" พูดถึงภาพรวมของสังคมแฮกเกอร์ที่อยู่ในแพลตฟอร์มตัวเอง โดยคีย์หลักของรายงานนี้บอกว่าการรายงานบั๊ก ได้สร้างรายมหาศาลให้กับแฮกเกอร์ระดับท็อปๆ ขณะที่แรงจูงใจสำคัญที่แฮกเกอร์เข้ามาร่วมในแพลตฟอร์มของ HackerOne ไม่ได้มีเงินเป็นปัจจัยหลัก แต่เป็น "การเรียนรู้ทิปและเทคนิคต่าง" ไปจนถึง "เพื่อความสนุกและท้ายทายตัวเอง"

หลังจาก Uber ออกมายอมรับว่าบริษัทถูกแฮกตั้งแต่ปี 2016 และเลือกที่จะปิดบังลูกค้าพร้อมกับจ่ายเงินค่าไถ่ข้อมูลให้แฮกเกอร์ 100,000 ดอลลาร์ คำถามสำคัญคือการจ่ายเงินขนาดนี้ทำได้อย่างไรโดยยังสามารถลงบัญชีบริษัทได้ ตอนนี้สำนักข่าว Reuters รายงานอ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่า Uber จ่ายเงินค่าไถ่ผ่านทาง HackerOne แพลตฟอร์มรายงานช่องโหว่ความปลอดภัย

กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

ที่ผ่านมาเราเห็นข่าวบริษัทไอทีตั้งรางวัลให้กับผู้ค้นพบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เรื่อยๆ (ตัวอย่างโครงการ Vulnerability Reward Program ของกูเกิล แต่ในยุคที่รถยนต์ก็มีซอฟต์แวร์จำนวนมาก ทำให้เราเริ่มเห็นผู้ผลิตรถยนต์รายใหญ่เริ่มทำแบบเดียวกันบ้าง

General Motors หรือ GM ยักษ์ใหญ่ของวงการรถยนต์สหรัฐ ประกาศจับมือกับ HackerOne ผู้ให้บริการแพลตฟอร์มการค้นหาช่องโหว่ เพื่อสร้างพอร์ทัลสำหรับสื่อสารกับผู้เชี่ยวชาญความปลอดภัยภายนอกบริษัท

GM ระบุว่าไม่มีสายสัมพันธ์กับโลกความปลอดภัยมากนัก การจับมือกับ HackerOne ที่มีเครือข่ายกว้างขวางอยู่แล้ว ย่อมทำให้เริ่มต้นกับวงการนี้ได้ง่ายขึ้น

Dropbox ประกาศเปิดโครงการจ่ายเงินรางวัลให้แฮกเกอร์ที่พบบั๊กความปลอดภัย โดยจ่ายเงินรางวัลขั้นต่ำ 216 ดอลลาร์ให้กับบั๊กที่เข้าข่ายได้รับเงินรางวัล

ทาง Dropbox ส่งคำขอบคุณแฮกเกอร์ 26 คนที่รายงานบั๊กมาแล้วจำนวน 27 บั๊กก่อนหน้านี้ พร้อมกับจ่ายเงินรวม 10475 ดอลลาร์เป็นรางวัล บั๊กที่ใหญ่ที่สุดมูลค่าถึง 4913 ดอลลาร์

แอพพลิเคชั่นที่เข้าข่าย ต้องเป็นแอพพลิเคชั่นของ Dropbox เองบนทุกแพลตฟอร์ม รวมถึง Carousel ตัว API แต่หากเป็นช่องโหว่ในแอพพลิเคชั่นภายนอก ทาง Dropbox ระบุว่าทางบริษัทอาจจะจ่ายเงินรางวัลหากช่องโหว่มีความโดดเด่นพอ

ที่มา - Dropbox