Tags:
Node Thumbnail

นักวิจัยจากบริษัท VI Company รายงานถึงช่องโหว่ของบริการ Coinbase Wallet ที่เปิดให้ผู้ใช้สามารถเปลี่ยนแปลงเลขจำนวนเงิน Ethereum ในบัญชีของตัวเองได้จนพอใจ และทาง Coinbase แก้ปัญหานี้แล้วตั้งแต่เดือนมกราคมที่ผ่านมา โดยไม่มีรายงานว่ามีแฮกเกอร์ใช้ช่องโหว่นี้เพื่อขโมยเงินออกไป

นักวิจัยสังเกตความผิดปกติเพื่อพยายามส่งเงินเข้าไปยัง Coinbase Wallet โดยใช้ smart contract ที่ส่งเงินออกไปยังหลายบัญชีพร้อมๆ กัน แต่ระหว่างทางเกิดความผิดพลาด เช่น แก๊สหมด ทำให้ transaction ถูกยกเลิก และเงินที่ถูกโอนถูกยกเลิกไปด้วย แต่ Coinbase Wallet กลับแจ้งว่าได้รับเงินเรียบร้อยแล้ว หากผู้ที่รู้ช่องโหว่นี้มุ่งร้ายก็อาจจจะถอนเงินออกไปตามจำนวนที่ Wallet แจ้งไว้

Tags:
Node Thumbnail

GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300

ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty

Tags:
Node Thumbnail

กองทัพอากาศสหรัฐร่วมกับ HackerOne ผู้ให้บริการแพลตฟอร์มค้นหาบั๊คจัดงาน Hack the Air Force 2.0 เป็นเวลา 20 วัน เพื่อเปิดโอกาสให้แฮกเกอร์เจาะระบบของกองทัพอากาศและค้นหาช่องโหว่ต่างๆ โดยวันที่ 9 กุมภาพันธ์ที่ผ่านมาซึ่งเป็นวันแรกของงาน กองทัพอากาศได้จัดเป็นอีเวนท์ให้แฮกเกอร์ได้แฮกกันสดๆ ในงานเป็นครั้งแรกด้วย

กองทัพอากาศสหรัฐเผยข้อมูลว่า ตั้งแต่วันที่ 9 ถึง 15 กุมภาพันธ์ที่ผ่านมา มีการค้นพบช่องโหว่ไปแล้วทั้งหมด 106 ช่องโหว่และกองทัพอากาศจ่ายเงินรางวัลไปแล้วกว่า 103,883 ดอลลาร์สหรัฐ โดยวันที่ 9 ที่เป็นการจัดงานสด มีการพบช่องโหว่มากถึง 55 ช่องโหว่และแฮกเกอร์ที่พบช่องโหว่ที่ร้ายแรงที่สุด ได้เงินรางวัลไปถึง 12,500 ดอลลาร์

Tags:
Topics: 
Node Thumbnail

เราเห็นบริษัทไอทีหลายบริษัทตั้งรางวัลให้กับผู้ที่พบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เนืองๆ (Bug Bounty) บ้างก็มีโครงการเป็นการภายในอย่างของ Google บ้างก็ใช้งานบริษัทภายนอก ซึ่ง HackerOne ถือเป็นผู้ให้บริการและเจ้าของแพลตฟอร์มรายงานชองโหว่ที่ใหญ่ที่สุดเจ้าหนึ่ง

HackerOne ได้ออกรายงาน "The 2018 Hacker Report" พูดถึงภาพรวมของสังคมแฮกเกอร์ที่อยู่ในแพลตฟอร์มตัวเอง โดยคีย์หลักของรายงานนี้บอกว่าการรายงานบั๊ก ได้สร้างรายมหาศาลให้กับแฮกเกอร์ระดับท็อปๆ ขณะที่แรงจูงใจสำคัญที่แฮกเกอร์เข้ามาร่วมในแพลตฟอร์มของ HackerOne ไม่ได้มีเงินเป็นปัจจัยหลัก แต่เป็น "การเรียนรู้ทิปและเทคนิคต่าง" ไปจนถึง "เพื่อความสนุกและท้ายทายตัวเอง"

Tags:
Topics: 
Node Thumbnail

หลังจาก Uber ออกมายอมรับว่าบริษัทถูกแฮกตั้งแต่ปี 2016 และเลือกที่จะปิดบังลูกค้าพร้อมกับจ่ายเงินค่าไถ่ข้อมูลให้แฮกเกอร์ 100,000 ดอลลาร์ คำถามสำคัญคือการจ่ายเงินขนาดนี้ทำได้อย่างไรโดยยังสามารถลงบัญชีบริษัทได้ ตอนนี้สำนักข่าว Reuters รายงานอ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่า Uber จ่ายเงินค่าไถ่ผ่านทาง HackerOne แพลตฟอร์มรายงานช่องโหว่ความปลอดภัย

Tags:
Node Thumbnail

กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์

Tags:
Node Thumbnail

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

Tags:
Node Thumbnail

ที่ผ่านมาเราเห็นข่าวบริษัทไอทีตั้งรางวัลให้กับผู้ค้นพบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เรื่อยๆ (ตัวอย่างโครงการ Vulnerability Reward Program ของกูเกิล แต่ในยุคที่รถยนต์ก็มีซอฟต์แวร์จำนวนมาก ทำให้เราเริ่มเห็นผู้ผลิตรถยนต์รายใหญ่เริ่มทำแบบเดียวกันบ้าง

General Motors หรือ GM ยักษ์ใหญ่ของวงการรถยนต์สหรัฐ ประกาศจับมือกับ HackerOne ผู้ให้บริการแพลตฟอร์มการค้นหาช่องโหว่ เพื่อสร้างพอร์ทัลสำหรับสื่อสารกับผู้เชี่ยวชาญความปลอดภัยภายนอกบริษัท

GM ระบุว่าไม่มีสายสัมพันธ์กับโลกความปลอดภัยมากนัก การจับมือกับ HackerOne ที่มีเครือข่ายกว้างขวางอยู่แล้ว ย่อมทำให้เริ่มต้นกับวงการนี้ได้ง่ายขึ้น

Tags:
Node Thumbnail

Dropbox ประกาศเปิดโครงการจ่ายเงินรางวัลให้แฮกเกอร์ที่พบบั๊กความปลอดภัย โดยจ่ายเงินรางวัลขั้นต่ำ 216 ดอลลาร์ให้กับบั๊กที่เข้าข่ายได้รับเงินรางวัล

ทาง Dropbox ส่งคำขอบคุณแฮกเกอร์ 26 คนที่รายงานบั๊กมาแล้วจำนวน 27 บั๊กก่อนหน้านี้ พร้อมกับจ่ายเงินรวม 10475 ดอลลาร์เป็นรางวัล บั๊กที่ใหญ่ที่สุดมูลค่าถึง 4913 ดอลลาร์

แอพพลิเคชั่นที่เข้าข่าย ต้องเป็นแอพพลิเคชั่นของ Dropbox เองบนทุกแพลตฟอร์ม รวมถึง Carousel ตัว API แต่หากเป็นช่องโหว่ในแอพพลิเคชั่นภายนอก ทาง Dropbox ระบุว่าทางบริษัทอาจจะจ่ายเงินรางวัลหากช่องโหว่มีความโดดเด่นพอ

ที่มา - Dropbox