Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน

LastPass อัพเดตข้อมูลกรณีการโดนแฮ็กเมื่อเดือนสิงหาคม 2022 ที่ตอนแรกเชื่อว่าข้อมูลลูกค้าไม่ได้รับผลกระทบ เพราะแฮ็กเกอร์เข้าถึงเฉพาะซอร์สโค้ดของบริษัท

จากการตรวจสอบอย่างละเอียด LastPass ยอมรับว่าแฮ็กเกอร์เข้าถึงข้อมูลบางส่วนของลูกค้า (certain elements of our customers’ information) แต่ไม่ได้เข้าถึงข้อมูลรหัสผ่านของลูกค้าที่ถูกเข้ารหัสอีกที และตัว LastPass เองก็ไม่สามารถเข้าถึงได้

LastPass บอกว่าตอนนี้กำลังวิเคราะห์อยู่ว่ามีข้อมูลใดบ้างถูกเข้าถึงได้ และจะประกาศข้อมูลเพิ่มเติมต่อไป

กระทรวงกลาโหมสหรัฐฯ ประกาศแผนอิมพลีเมนต์ระบบความปลอดภัยแบบ Zero Trust ทั้งระบบ โดยวางแผนว่าจะสามารถอิมพลีเมนต์ได้สำเร็จทั้งองค์กรภายในปี 2027

การวางระบบความปลอดภัยแบบ Zero Trust จำกัดการเข้าถึงทรัพยากรต่างๆ ในองค์กร โดยตรวจสอบความปลอดภัยทุกอย่าง กระบวนการเข้าถึงแต่ละครั้งต้องตรวจสอบทั้งยืนยันตัวตนผู้ใช้, รูปแบบการเข้าถึงว่าผิดปกติหรือไม่, อุปกรณ์ที่ใช้มีความปลอดภัย โดยการอนุญาตให้เข้าถึงทรัพยากรต่างๆ เป็นรูปแบบที่จำกัดการอนุญาตเท่าที่จำเป็นเท่านั้น

Project Zero ของกูเกิล รายงานช่องโหว่ความปลอดภัยในไดรเวอร์ Arm Mali GPU ที่ใช้กันแพร่หลายในวงการ Android จำนวนรวม 5 จุด โดยส่งข้อมูลนี้ให้บริษัท Arm ในช่วงเดือนมิถุนายน-กรกฎาคม 2022 และ Arm ออกแพตช์อุดช่องโหว่ให้เรียบร้อยแล้วในเดือนสิงหาคม 2022

อย่างไรก็ตาม แพตช์อันนี้กลับไม่ถูกแบรนด์ผู้ผลิตสมาร์ทโฟนนำไปอัพเดตในสินค้าของตัวเองที่ใช้จีพียู Mali (แม้กระทั่ง Pixel ของกูเกิลเองก็ด้วย) ทำให้ช่องโหว่นี้ยังถูกเรียกใช้งานได้อยู่เช่นเดิม ทาง Project Zero ลองตรวจสอบกับตลาดแฮ็กเกอร์ใต้ดินก็พบว่านำช่องโหว่นี้ไปใช้งานกันอย่างแพร่หลายเช่นกัน ทางโครงการจึงออกมากระตุ้นเตือนอีกรอบให้บรรดาผู้ผลิตสมาร์ทโฟนเร่งอัพเดตแพตช์จาก Arm ให้เรียบร้อย

ไมโครซอฟท์ออกรายงานเตือนภัยการใช้งานเว็บเซิร์ฟเวอร์ Boa ที่หยุดพัฒนาไปตั้งแต่ปี 2005 แต่ยังนิยมใช้กันอย่างแพร่หลายในอุปกรณ์ IoT และกล้องวงจรปิด

Boa เป็นซอฟต์แวร์เว็บเซิร์ฟเวอร์ขนาดเล็กที่เขียนขึ้นในปี 1995 และหยุดพัฒนาในปี 2005 จุดเด่นของมันคือใช้ทรัพยากรน้อย ทำให้เป็นที่นิยมในกลุ่มผู้ผลิตอุปกรณ์ IoT และชุดพัฒนา SDK ต่างๆ (ที่ไมโครซอฟท์ระบุยี่ห้อมี 1 รายคือ Realtek) แต่การที่มันไม่ถูกพัฒนามานานมาก ทำให้แทบไม่มีฟีเจอร์ด้านความปลอดภัยใดๆ แม้กระทั่ง access control หรือการรองรับ SSL

NordPass ผู้พัฒนาแอปจัดการรหัสผ่าน ออกรายงานรหัสผ่านยอดนิยมประจำปี 2022 (Top 200 Most Common Passwords) โดยบอกว่าแม้ผู้คนจะตื่นตัวกับความปลอดภัยทางไซเบอร์มากขึ้น แต่พฤติกรรมเก่า ๆ ก็ยังคงอยู่

โดยรหัสผ่านยอดนิยม ที่รวบรวมจากนักวิจัยอิสระและพาร์ตเนอร์ จากฐานข้อมูลหลุดมาซึ่งรวบรวมไว้ขนาด 3TB พบว่า password คือรหัสผ่านยอดนิยมอันดับที่ 1 แซงหน้า 123456 แชมป์เก่าปีที่แล้วไปได้

รหัสผ่านยอดนิยมอื่นที่น่าสนใจ เช่น tinder Oscars batman euphoria encanto ซึ่งมาจากกระแสความนิยมในหัวข้อตามช่วงเวลานั้น

Tailscale ผู้ให้บริการเครือข่ายส่วนตัวผ่านอินเทอร์เน็ต (คล้าย VPN) เปิดบริการ Tailscale Funnel เพื่อให้เครื่องอื่นๆ นอกเครือข่าย tailnet สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ด้วย

บริการ Funnel ทำให้ Tailscale ให้บริการคล้ายกับบริการอย่าง Cloudflare Tunnel ยิ่งขึ้นโดยผู้ใช้ไม่ต้องมีโดเมนเป็นของตัวเอง แต่ใช้โดเมน .ts.net ของ Tailscale

ทาง Tailscale จะส่งแพ็กเก็ตของผู้ใช้แบบที่เข้ารหัสไปยังโหนดของลูกค้าโดยตรงไม่มีการถอดรหัสระหว่างทาง และทาง Tailscale ยืนยันว่าลูกค้าสามารถตรวจสอบได้ว่าทางบริษัทไม่ได้ออกใบรับรองเข้ารหัสสำหรับโดเมน .ts.net เพื่อดักฟังข้อมูล

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDO Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา - 1Password

ดราม่า FTX ยังไม่จบลงง่ายๆ แม้ยื่นขอล้มละลายไปแล้ว ล่าสุด FTX รายงานปัญหาผ่านห้องแชทใน Telegram ว่าโดนแฮ็กที่แอพ FTX Wallet ทำให้แฮ็กเกอร์สามารถโอนเงินคริปโตออกไปได้เป็นมูลค่า 600 ล้านดอลลาร์ (บางแห่งก็บอก 400 ล้านดอลลาร์)

David Schütz นักวิจัยด้านความปลอดภัยจากฮังการีได้เปิดเผยช่องโหว่บนมือถือ Google Pixel ทุกรุ่น สามารถปลดล็อคหน้าจอมือถือของเหยื่อได้โดยไม่ต้องทราบรหัส ล่าสุดกูเกิลอุดช่องโหว่นี้แล้วในแพทช์ล่าสุดเดือนพฤศจิกายน

David เขียนบล็อกเล่าว่าเขาพบช่องโหว่นี้โดยบังเอิญในมือถือ Pixel 6 ส่วนตัว โดยเขาทำมือถือแบตหมดแล้วโดนถาม PIN ของซิมการ์ดตอนเปิดเครื่องซึ่งเขาจำไม่ได้และใส่รหัสผิดครบ 3 ครั้ง ทำให้ต้องใส่รหัส PUK ของซิมแทนซึ่งระบุอยู่บนซองของซิม หลังจากเขาใส่รหัส PUK ที่ถูกต้อง เครื่องก็ให้ตั้ง PIN ของซิมใหม่ แต่ตั้งเสร็จเครื่องกลับให้สแกนนิ้ว ทั้งที่ปกติ Pixel จะต้องใส่ PIN ครั้งแรกหลังบูตเครื่องเพื่อถอดรหัสดิสก์ก่อน

David Schütz นักวิจัยความปลอดภัย รายงานถึงช่องโหว่ที่กูเกิลเพิ่งแพตช์ไปเมื่อวันที่ 5 พฤศจิกายนที่ผ่านมา เป็นช่องโหว่เปิดทางให้คนร้ายที่ได้โทรศัพท์ Pixel ไปสามารถปลดล็อกโทรศัพท์ได้ทันทีโดยไม่ต้องรู้ PIN หรือรหัสผ่าน เพียงแต่ใส่ซิมที่ติดล็อกและต้องปลดล็อกด้วย PUK เท่านั้น

ช่องโหว่นี้อาศัยบั๊ก race condition ของการเรนเดอร์หน้าจอ ทำให้เมื่อผู้ใช้ใส่ PUK code เพื่อปลดล็อกซิมแล้วแอนดรอยด์กลับปิดหน้าจอล็อกทั้งหมดทำให้ผู้ใช้ไปอยู่ที่หน้า Home และใช้งานโทรศัพท์ได้ทันที

เมื่อคืนนี้ ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday รอบเดือนพฤศจิกายน 2022 มีแพตช์สำคัญ 4 ตัวของ Windows และ 2 ตัวของ Exchange Server ที่ควรอัพเดตกันด่วน เนื่องจากพบการโจมตีช่องโหว่เหล่านี้แล้ว

ช่องโหว่ 4 ตัวของ Windows กระจายกันไปหลายด้าน เช่น Windows Scripting Languages, Web Security, Print Spooler, CNG Key Isolation กระทบกับ Windows ทุกเวอร์ชัน (ที่ยังอยู่ในระยะซัพพอร์ตคือ 10, 11 และ Windows Server 2016, 2019, 2022) ส่วนช่องโหว่ของ Microsoft Exchange กระทบตั้งแต่เวอร์ชัน 2013, 2016, 2019

ช่องโหว่ทั้งหมดของรอบนี้มี 68 ตัว ครอบคลุมผลิตภัณฑ์หลากหลาย เช่น .NET, Azure, Dynamics, Office, Visual Studio รวมถึงเคอร์เนลลินุกซ์ที่ใช้ใน WSL2 ด้วย

ไมโครซอฟท์ออกรายงาน Microsoft Digital Defense Report 2022 รายงานถึงภัยไซเบอร์และการป้องกันในช่วงปีที่ผ่านมา ความเปลี่ยนแปลงสำคัญคือการโจมตีโครงสร้างพื้นฐานสำคัญยิ่งยวด (critical infrastructure) เพิ่มขึ้นอย่างรวดเร็ว ในช่วงหลังจากรัสเซียเริ่มโจมตียูเครน ทำให้โครงสร้างไอทีในชาตินาโต้ถูกโจมตีไปด้วย

รายงานยังระบุถึงกลุ่มแฮกเกอร์จีนว่าใช้งานช่องโหว่ที่ไม่เคยมีรายงานมาก่อน (zero-day) เพิ่มขึ้นเรื่อยๆ โดยการใช้ช่องโหว่เหล่านี้เพิ่มขึ้นสอดคล้องกับการประกาศกฎหมายรายงานช่องโหว่ซอฟต์แวร์ที่ต้องแจ้งรัฐบาลก่อนเสมอ

systemd ออกเวอร์ชั่น 252 เมื่อสัปดาห์ที่ผ่านมา โดยเปลี่ยนระบบการบูตใหม่ ไปใช้ unified kernel image (UKI) อิมเมจของเคอร์เนลลินุกซ์ที่รวมกับอิมเมจของ /initrd/, และ UEFI boot stub เข้าไว้ด้วยกัน เพื่อปิดช่องโหว่การโจมตีดิสก์เข้ารหัสด้วยการเปลี่ยนเคอร์เนลระหว่างรัน

Dropbox เปิดเผยว่าถูกแฮ็กเข้าระบบจัดการซอร์สโค้ดภายใน (เป็น GitHub แบบบัญชีองค์กร) โดยแฮ็กเกอร์ใช้วิธี phishing หลอกเอาล็อกอิน สามารถเข้าถึงซอร์สโค้ดจำนวน 130 repositories และข้อมูลพนักงาน-คู่ค้าจำนวนหนึ่ง แต่เข้าไม่ถึงซอร์สโค้ดของแอพหลัก และข้อมูลทั้งหมดของลูกค้า

Dropbox บอกว่าได้รับแจ้งเตือนจาก GitHub ที่ตรวจพบความเคลื่อนไหวผิดปกติของบัญชีนักพัฒนา หลังสอบสวนแล้วพบว่าบัญชีถูกแฮ็ก โดยแฮ็กเกอร์ปลอมตัวเป็นอีเมลของระบบ CircleCI บริการ CI/CD ที่ Dropbox ใช้งาน หลอกเอา API key ของบัญชีพนักงานรายหนึ่งไปได้

OpenSSL ออกอัพเดต 3.0.7 ตามที่ประกาศไว้ก่อนหน้านี้ อย่างไรก็ดีทางโครงการระบุว่าเมื่อวิเคราะห์ช่องโหว่แล้วพบว่าการโจมตีทำได้ยากกว่าที่คิดตอนแรก ทำให้ความร้ายแรงจากระดับวิกฤติเหลือระดับร้ายแรงสูง

mitmproxy พรอกซี่สำหรับตรวจสอบข้อมูลที่เข้ารหัส เช่น HTTPS เปิดตัวเวอร์ชั่น 9 โดยเพิ่มฟีเจอร์สำคัญสองอย่างคือการดัก UDP และมี Wireguard มาในตัว

การดักฟัง UDP นั้นใช้ได้ทั้ง UDP ธรรมดา และ DTLS ที่เข้ารหัส ทำให้โดยรวมแล้วผู้ใช้จะสามารถส่องข้อมูลการเชื่อมต่อโปรโตคอลเข้ารหัสได้เหมือน TLS ปกติ

โหมด Wireguard ทำให้สามารถบังคับแอปพลิเคชั่นต่างๆ ให้เชื่อมต่อผ่าน mitmproxy ได้ง่ายขึ้นเพราะตัวโปรแกรมทำหน้าที่เป็นเซิร์ฟเวอร์ VPN (แต่ยังต้องติดตั้ง root CA ของ mitmproxy เองอยู่) ฟีเจอร์นี้ทำให้ตรวจสอบทราฟิกแอปบนโทรศัพท์มือถือได้ง่ายขึ้นเพราะเพียงสแกน QR คอนฟิกของ mitmproxy ก็จะบังคับให้แอปพลิเคชั่นเชื่อมต่อได้เลย ฟีเจอร์นี้ยังเป็นฟีเจอร์แรกที่พัฒนาด้วย Rust ของโครงการ

โครงการ Fedora ประกาศเลื่อนการออก Fedora 37 เป็นกรณีพิเศษ เนื่องจากช่องโหว่ระดับวิกฤตของ OpenSSL ที่จะเปิดเผยต่อสาธารณะในวันอังคารหน้า ทำให้ทีม Fedora ตัดสินใจรอแพตช์ OpenSSL ให้เรียบร้อยก่อนออกเวอร์ชัน 37 ตัวจริง (เดิมมีกำหนดออก 8 พฤศจิกายน)

ทีม Fedora บอกว่าตอนนี้ยังไม่รู้ข้อมูลที่ชัดเจนว่าช่องโหว่ OpenSSL ร้ายแรงแค่ไหน แต่การที่ระดับของช่องโหว่เป็น critical ทำให้ทีมงานตัดสินใจรอแพตช์ก่อน เพื่อลดผลกระทบของการใช้ดิสโทรที่มีช่องโหว่ติดไปด้วย ซึ่งเป็นการตัดสินใจเลือกระหว่างเวลา-คุณภาพ

เบื้องต้นทีมงานคาดว่าจะออก Fedora 37 ในวันที่ 15 พฤศจิกายน แต่ก็ต้องรอข้อมูลแพตช์อีกครั้ง

OpenSSL ประกาศแจ้งเตือนล่วงหน้าว่าโครงการกำลังออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ระดับวิกฤติ โดยช่องโหว่นี้กระทบ OpenSSL ในตระกูล 3.0 เท่านั้น และจะออกแพตช์เป็น OpenSSL 3.0.7

เวลาที่ออกแพตช์คือวันที่ 1 พฤศจิกายนที่จะถึงนี้ ช่วงเวลาระหว่าง 2 ทุ่มถึงเที่ยงคืนตามเวลาประเทศไทย

SOCRadar บริษัทด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายงานระบุว่า Microsoft ทำข้อมูลภายในรั่วไหล ซึ่งเป็นข้อมูลที่เก็บตั้งแต่ปี 2017 มาจนถึงเดือนสิงหาคมปีนี้ รวมปริมาณ 2.4 TB

ข้อมูลที่หลุดออกมามีทั้งเอกสารภายในเกี่ยวกับการดำเนินของบริษัท, ข้อมูลผู้ใช้, รายละเอียดการสั่งซื้อและการเสนอขายผลิตภัณฑ์, รายละเอียดโครงการต่างๆ, ข้อมูลส่วนบุคคลที่ใช้ระบุตัวตนได้ รวมทั้งเอกสารอื่นที่อาจนำไปสู่การเปิดเผยทรัพย์สินทางปัญญาของบริษัท ทั้งนี้ SOCRadar ระบุว่าข้อมูลชุดนี้มาจากการปรับแต่งที่ผิดพลาดของ Azure Blob Storage

Nicky Mouha นักวิจัยกระบวนการเข้ารหัสลับรายงานถึงช่องโหว่ buffer overflow ในฟังก์ชั่นแฮช SHA-3 ของไลบรารี XKCP ซึ่งเป็นไลบรารีดั้งเดิมของทีมงานออกแบบกระบวนการแฮช Keccak และเสนอเข้าแข่งขัน SHA-3 จนชนะเป็นมาตรฐาน

ช่องโหว่นี้อาศัยการเรียกฟังก์ชั่นแฮช SHA-3 ด้วยข้อมูลขนาด 4GB จนซอฟต์แวร์ภายในเกิด integer overflow ความน่ากังวลของช่องโหว่นี้คือโค้ดถูกเขียนตั้งแต่ปี 2011 และมีการตรวจสอบจากหลายคนในช่วงแข่งขันเลือก SHA-3 และโค้ดนี้ถูกนำไปใช้ในไลบรารีจำนวนมาก

ทาง XKCP แพตช์ช่องโหว่นี้แล้ว คาดว่าซอฟต์แวร์อื่นๆ ก็น่าจะนำแพตช์นี้ไปใช้งานในการอัพเดตรอบต่อไป

โครงการโอเพนซอร์สฮาร์ดแวร์ Open Compute Project (OCP) ร่วมกับบริษัทยักษ์ใหญ่หลายรายคือ AMD, Google, Microsoft, NVIDIA เปิดตัวโครงการ Caliptra การสร้าง "รากแห่งความเชื่อถือ" (root of trust หรือ RoT) ลงไปที่ระดับชิปทุกประเภท

แนวคิด root of trust คือการให้ฮาร์ดแวร์สามารถยืนยันกันต่อได้เป็นชั้นๆ ว่าชั้นก่อนหน้าตัวเองปลอดภัย ไม่แปลกปลอม โดยใช้กระบวนการเข้ารหัสลับ (cryptography) ช่วยยืนยัน แต่ที่ผ่านมา การทำ RoT มักแยกส่วนกันตามผู้ผลิตฮาร์ดแวร์แต่ละชิ้น เช่น SoC แยกจากเมนบอร์ด ทำให้การตรวจสอบยืนยันทำได้ยาก โดยเฉพาะงานประมวลผลยุคใหม่ที่รันงานในคลาวด์ มีความซับซ้อนของฮาร์ดแวร์สูง แต่ก็ต้องการระดับความปลอดภัยที่สูงมาก

ธนาคารไทยพาณิชย์ประกาศอัพเดตแอป SCB Easy เวอร์ชั่นใหม่ห้ามไม่ให้บันทึกหน้าจอระหว่างการทำธุรกรรม โดยจะเริ่มปล่อยอัพเดตตั้งแต่วันที่ 17 ตุลาคมนี้

ก่อนหน้านี้มีเหตุลูกค้าธนาคารไทยพาณิชย์ถูกโอนเงินออกจากบัญชีรวม 1.4 ล้านบาท โดยทางธนาคารชี้แจงว่าเหตุเกิดจากลูกค้าถูกหลอกให้ติดตั้งโปรแกรม แม้จะไม่มีรายละเอียดว่าเป็นโปรแกรมอะไร แต่ทางธนาคารก็ระบุว่าคนร้ายอาจจะอาศัยการหลอกให้เหยื่อติดตั้งโปรแกรม remote desktop หรืออาจจะวิดีโอคอลแล้วหลอกให้เหยื่อแชร์หน้าจอ การป้องกันการบันทึกหน้าจอเช่นนี้จึงเป็นการลดความเสี่ยงกรณีเหล่านี้ลง

กูเกิลประกาศรองรับการล็อกอินแบบ Passkey บนโทรศัพท์แอนดรอยด์และเบราว์เซอร์โครม หลังจากก่อนหน้านี้แอปเปิลรองรับไปก่อนแล้ว ทำให้สามารถใช้โทรศัพท์ล็อกอินบริการต่างๆ ได้โดยไม่ต้องตั้งรหัสผ่านอีกต่อไป

Passkey เป็นมาตรฐานบน WebAuthn อีกทีหนึ่ง เปิดทางให้บริการต่างๆ สามารถยืนยันตัวตนผู้ใช้ด้วยกุญแจเข้ารหัสที่เก็บอยู่ในอุปกรณ์ของผู้ใช้ ทั้งโทรศัพท์มือถือและเบราว์เซอร์ โดยกุญแจนี้สามารถซิงก์ข้ามเครื่องไปมาได้ ในกรณีที่ผู้ใช้ต้องการล็อกอินบนอุปกรณ์ที่ไม่รองรับ Passkey แต่สร้างบัญชีไว้โดยไม่ได้ตั้งรหัสผ่าน ก็สามารถใช้งานตั้งล็อกอินผ่าน QR ได้ คล้ายกับการล็อกอิน LINE บนเดสก์ทอปทุกวันนี้

ก่อนหน้านี้ไม่นานมีคนอ้างว่าได้ซอร์สโค้ด BIOS/UEFI ของซีพียู​ Alder Lake (12th Gen) หลุดออกมาเผยแพร่ตามเว็บบอร์ดต่างๆ ล่าสุดอินเทลยืนยันแล้วว่าเป็นซอร์สโค้ดที่หลุดมาจริงๆ

อินเทลบอกว่าการหลุดของซอร์สโค้ดรอบนี้จะไม่กระทบกับช่องโหว่ความปลอดภัยใดๆ และบอกว่าซอร์สโค้ดอยู่ภายใต้โครงการ Bug Bounty อยู่แล้ว ดังนั้นถ้านักวิจัยความปลอดภัยมาอ่านซอร์สโค้ดแล้วเจอช่องโหว่ใหม่ ก็มารับรางวัลได้เลย (สูงสุด 100,000 ดอลลาร์ต่อช่องโหว่)