Netflix ได้เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินเป็นรางวัลสำหรับบุคคลทั่วไปอย่างเป็นทางการ เพื่อให้นักวิจัยความปลอดภัยสนใจการหาช่องโหว่ของ Netflix มากขึ้น โดย Netflix เลือกใช้แพลตฟอร์มของ Bugcrowd ในโครงการ bug bounty นี้
Netflix มีโครงการ bug bounty มาสักระยะหนึ่งแล้ว แต่ก่อนหน้านี้ยังคงรับรายงานในวงจำกัด โดย Netflix ได้รับแจ้งช่องโหว่ทั้งหมด 275 ครั้ง และเป็นช่องโหว่จริง ๆ กว่า 145 ครั้ง มีความร้ายแรงหลายระดับ ซึ่งการรับรายงานช่องโหว่ทำให้ Netflix สามารถตรวจสอบระบบและปรับปรุงความปลอดภัยได้ดียิ่งขึ้น
GitHub รายงานสรุปโครงการ Bug Bounty ในปีที่แล้วว่าได้รับการแจ้งช่องโหว่มาทั้งหมด 840 ช่องโหว่ผ่านแพลตฟอร์ม HackerOne และจ่ายเงินรางวัลไปทั้งหมด 166,495 เหรียญสหรัฐ เพิ่มขึ้นจากปี 2016 ที่จ่ายไป 95,300
ส่วนช่องโหว่ที่ GitHub จ่ายเงินรางวัลไปมากที่สุดคือ ช่องโหว่ในมาตรฐานการยืนยันตัวตน Security Assertion Markup Language (SAML) ใน GitHub Enterprise ที่บริษัทจ่ายเงินรางวัลไป 10,000 เหรียญซึ่งสูงทีสุดที่ตั้งเอาไว้ในโครงการตอนนั้น โดยวิศวกรด้านความปลอดภัยที่แจ้งช่องโหว่นี้ได้รับโบนัสเพิ่มอีก 12,000 เหรียญด้วย เนื่องจากเป็นการแจ้งในช่วงครบรอบ 3 ปีของโครงการ Bug Bounty
ช่องโหว่ Meltdown/Spectre ถูกพบมาตั้งแต่กลางปี 2017 และกลายเป็นปัญหาสำหรับผู้ใช้เป็นวงกว้าง สัปดาห์ที่ผ่านมาอินเทลก็ออกมาปรับนโยบายโครงการรายงานช่องโหว่ (bug bounty) เพื่อให้ครอบคลุมช่องโหว่ประเภทนี้แล้ว
Meltdown/Spectre เป็นกลุ่มการโจมตีโดยใช้ข้อมูลข้างเคียง (side-channel attack) คือระยะเวลาการเข้าถึงแคชเพื่อหาข้อมูลจากตำแหน่งอื่น ที่ปกติแล้วซอฟต์แวร์ไม่มีสิทธิ์อ่าน การโจมตีโดยใช้ข้อมูลข้างเคียงนี้ยังมีข้อมูลอื่นๆ ตั้งแต่เสียงพัดลม, ปริมาณการใช้ไฟฟ้า ฯลฯ
Google ออกรายงานโครงการแจ้งช่องโหว่รับรางวัลหรือ bug bounty โดยเผยว่าทางบริษัทได้จ่ายเงินไปแล้ว 12 ล้านดอลลาร์ตั้งแต่เปิดตัวโปรแกรมในเดือนพฤศจิกายนปี 2010 และเฉพาะเมื่อปีที่แล้วทางบริษัทได้จ่ายเงินให้นักวิจัยความปลอดภัยไปแล้วกว่า 2.9 ล้านดอลลาร์ ซึ่งน้อยกว่าปีก่อนหน้าที่ 3 ล้านดอลลาร์เล็กน้อย โดยในปีนี้มีนักวิจัยได้เงินรางวัลทั้งหมด 274 คน และผู้รับรางวัลได้บริจาคเงินให้การกุศลรวมกว่า 160,000 ดอลลาร์
สำหรับเรื่องที่น่าสนใจสำหรับโครงการแจ้งช่องโหว่ของ Google ในปี 2017 เช่น
Sean Melia นักวิจัยความปลอดภัยรายงานช่องโหว่ชุดหนึ่งให้กับ DJI โดยระบุว่าในทั้งหมดที่รายงานมีช่องโหว่ Heartbleed ตั้งแต่ปี 2014, ช่องโหว่รันโค้ดระยะไกลที่ได้สิทธิ์ root, และช่องโหว่ SQL Injection ด้วย แต่ทาง DJI กลับเสนอเงินรางวัลให้เพียง 500 ดอลลาร์
Melia ตอบกลับทาง DJI ว่าขอไม่รับเงินรางวัลและแนะนำว่าไม่ควรมีโครงการแบบนี้ออกมา
ตารางการจ่ายเงินรางวัลของ DJI ระบุเงินรางวัลไว้ตั้งแต่ 100-30,000 ดอลลาร์ โดยช่องโหว่ร้ายแรงสูงที่เข้าถึงข้อมูลผู้ใช้และควบคุมเซิร์ฟเวอร์สำคัญจะมีรางวัลขั้นต่ำ 5,000 ดอลลาร์
DJI ผู้ผลิตโดรนชื่อดังออกโครงการ bug bounty ดึงดูดนักวิจัยด้านความปลอดภัยให้หาช่องโหว่ทั้งบนซอฟต์แวร์และโดรน ภายใต้ชื่อว่า DJI Threat Identification Reward Program
จำนวนเงินที่ DJI จ่ายนั้นจะอยู่ที่ 100 จนถึง 30,000 ดอลลาร์ โดยจะพิจารณาตามความร้ายแรงของช่องโหว่ ซึ่งโครงการดังกล่าว DJI กล่าวว่ามีจุดประสงค์หลักอยู่ที่การป้องกันการคุกคามข้อมูลผู้ใช้, วิดีโอ และบันทึก แต่ DJI ก็ยังมองหาปัญหาที่เกี่ยวข้องกับความปลอดภัยการบินด้วย ไม่ว่าจะเป็นระบบพลังงาน, การจำกัดพื้นที่บินของโดรน และการจำกัดความสูงของโดรน
ผู้ที่สามารถค้นพบช่องโหว่ของซอฟต์แวร์และโดรนของ DJI สามารถส่งอีเมลไปรายงานช่องโหว่ได้ที่ bugbounty@dji.com
ไมโครซอฟท์เปิดโครงการ Windows Bounty Program สำหรับวินโดวส์ทั้งเซิร์ฟเวอร์และไคลเอนต์ทั้งหมด โดยรวม Edge เข้ามาด้วย
โครงการนี้เริ่มที่ Windows Insider Preview เป็นพื้นฐาน รางวัล 500 ถึง 15,000 ดอลลาร์ แล้วเพิ่มเติมบริการอื่น ได้แก่ Edge 500-15,000 ดอลลาร์, Windows Defender Application Guard 500-30,000 ดอลลาร์, mitigation bypass 500-200,000 ดอลลาร์ และที่รางวัลสูงสุดคือ Hyper-V ที่ครอบคลุมทั้ง Windows 10 รุ่นปกติ, Windows Server 2012 ไปจนถึง Windows Server Insider Preview รางวัล 5,000-200,000 ดอลลาร์
กระแสการรักษาความปลอดภัยซอฟต์แวร์และบริการด้วยการจ่ายรางวัลให้กับนักวิจัยความปลอดภัย ให้มาช่วยกันทดสอบความปลอดภัยและรายงานช่องโหว่อย่างถูกต้องได้รับความนิยมอย่างมากในช่วงหลัง แพลตฟอร์มจ่ายเงินให้นักวิจัยอย่าง HackerOne ก็ออกมาระบุว่าตลอดห้าปีที่ผ่านมาบริษัทจ่ายรางวัลไปแล้วรวม 15 ล้านดอลลาร์
โครงการรายงานช่องโหว่แลกรางวัลของกูเกิล (Google VRP) ประกาศเพิ่มเพดานรางวัลจากเดิม 20,000 ดอลลาร์เป็น 31,337 หรือเพิ่มขึ้นกว่า 50% โดยระบุเหตุผลว่าช่องโหว่ระดับสูงใช้เวลาค้นหานานขึ้นมาในช่วงปีที่ผ่านมา
ช่องโหว่รันโค้ดจากระยะไกลจึงได้เพดานรางวัล 31,337 ดอลลาร์ ขณะที่ช่องโหว่อื่นรางวัลอาจจะเพิ่มในสัดส่วนต่างกัน เช่น ช่องโหว่เข้าถึงระบบไฟล์จะอยู่ที่ 13,337 ดอลลาร์ เพิ่มจาก 10,000 ดอลลาร์
พร้อมๆ กับการประกาศของกูเกิล ไมโครซอฟท์ก็ประกาศเพิ่มรางวัลเป็นกรณีพิเศษให้กับการายงานช่องโหว่ของ Office 365 และ Exchange Online โดยเพิ่มรางวัลเป็นสองเท่าตัว สูงสุด 30,000 ดอลลาร์ บนบริการของโดเมน portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com, และ outlook.com
ช่วงปีที่ผ่านมาเว็บและบริการที่เข้าถึงจากอินเทอร์เน็ตจำนวนมากพากันเปิดโครงการรายงานช่องโหว่แลกเงินรางวัล โดยข้อดีที่เรามักเห็นกันคือบริการเหล่านี้ได้รับการตรวจสอบอย่างถี่ถ้วนมาก และภาพลักษณ์ของบริการก็ดีขึ้นไปพร้อมกัน เช่น Pornhub ที่มีนักวิจัยรายงานช่องโหว่ระดับสูงเข้าไป ล่าสุด Michael Stoppelman รองประธานฝ่ายวิศวกรรมของ Yelp ก็ออกมาบอกข้อดีอีกประการของโครงการเช่นนี้ว่าทำให้บริษัทจ้างคนได้ง่ายขึ้นด้วย
HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition
เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่
แนวทางการรักษาความปลอดภัยซอฟต์แวร์และบริการคงเป็นมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์รายใหญ่ๆ ในโลกจำนวนมาก แต่โครงการรายงานช่องโหว่แลกเงินรางวัลรอบล่าสุดกลับมาจากตลาดมืดใต้ดินที่ชื่อว่า HANSA (http://hansamkt2rr6nfg3.onion)
ประกาศของ HANSA แบ่งช่องโหว่ออกเป็นสามระดับ ได้แก่ ระดับสำคัญยิ่งยวด โดยอาจจะเปิดเผยหมายเลขไอพีผู้ใช้หรือเซิร์ฟเวอร์หรือเปิดเผยข้อมูลส่วนตัวอื่นๆ ได้รางวัล 10BTC, รางวัลสำคัญรองๆ ลงมา 1BTC, และบั๊กเล็กน้อยรางวัล 0.05BTC
กูเกิลรายงานสรุปโครงการรายงานช่องโหว่ซอฟต์แวร์โดยมีเงินรางวัล (bug bounty) สรุปยอดรวมของปี 2016 จ่ายเงินไปทั้งสิ้นกว่า 3 ล้านดอลลาร์
ข้อมูลเพิ่มเติมของเงินรางวัลในปี 2016 ได้แก่
ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา
รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที
ช่องโหว่ชุดหนึ่งเจาะทะลุจากเว็บรับสมัครทหาร goarmy.com แล้วพบว่ามีพรอกซี่ภายในเปิดอยู่ทำให้นักวิจัยสามารถทะลุเข้าเน็ตเวิร์คภายในของกองทัพได้ นับเป็นช่องโหว่ที่ร้ายแรงที่สุดในรายการนี้
หลังจากมีข่าวอุปกรณ์ของ Netgear ถูกพบช่องโหว่และได้รับการแก้ไขเรียบร้อยแล้ว ข่าวเดิม ทาง Netgear ได้ออกมาประกาศเปิดโครงการหาช่องโหว่ผลิตภัณฑ์ โดยการให้เงินรางวัลสูงสุดถึง 15,000 USD สำหรับผู้พบช่องโหว่
โดยโครงการนี้จะมอบเงินรางวัลแก่นักวิจัยด้านความปลอดภัย หรือเรียกว่า กลุ่ม white hat hacker ที่สามารถรายงานช่องโหว่ของอุปกรณ์ที่อันตรายโดยเงินรางวัลเริ่มตั้งแต่ 150 ถึง 15,000 USD โดยสามารถรายงานช่องโหว่ที่พบทั้งใน ฮาร์ดแวร์,APIs และ Mobile apps ที่เป็นผลิตภัณฑ์ของ Netgear
Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล
โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น
ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น
แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้
โครงการ Shopify Scripts ให้รางวัลสูงสุด 20,000 ดอลลาร์สำหรับช่องโหว่ระดับสูง และลดหลั่นไปเรื่อยๆ หลังเปิดโครงการ ทาง Shopify ได้รับรายงานจำนวนมาก มีช่องโหว่ระดับสูงนับสิบรายการ จนกระทั่งเมื่อสัปดาห์ที่แล้วทางโครงการต้องประกาศลดเงินรางวัลลงเหลือสูงสุดเพียง 2,000 ดอลลาร์
โครงการหาช่องโหว่ความปลอดภัยแลกรางวัลได้รับความนิยมในหมู่ผู้ผลิตซอฟต์แวร์ และผู้ให้บริการผ่านอินเทอร์เน็ตจำนวนมาก แต่ตอนนี้ผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm ก็หันมาเปิดโครงการเช่นนี้บ้างแล้ว
ทาง Qualcomm จะจำกัดเฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น โดยระบุว่าบริษัทจะเชิญนักวิจัยเข้าร่วมโครงการเพิ่มเติมเรื่อยๆ ตัวโครงการครอบคลุมฮาร์ดแวร์ Snapdragon 400, 615, 801, 808, 810, 820, 821 และโมเด็ม X5, X7, X12, X16 พร้อมกับซอฟต์แวร์ทั้งตัวลินุกซ์เคอร์เนลและเฟิร์มแวร์ ตลอดจนระบบ TrustZone และซอฟต์แวร์อื่นๆ ที่รันในสิทธิ์ root
โครงการ Facebook Bug Bounty ได้ประกาศว่า ในช่วงระยะเวลา 5 ปีของโครงการ bug bounty ของบริษัทได้จ่ายเงินไปแล้วกว่า 5 ล้านดอลลาร์ ให้นักวิจัยและผู้รายงานบั๊กกว่า 900 คน
Joey Tyson วิศวกรด้านความปลอดภัยของ Facebook ได้กล่าวว่าโครงการนี้จะไม่สำเร็จได้เลยถ้าไม่ได้รับความร่วมมือจากนักวิจัยความปลอดภัยในวงกว้าง
Facebook นั้นไมไ่ด้เปิดเผยว่าได้รับรายงานบั๊กเป็นจำนวนเท่าไรใน 5 ปีตั้งแต่เริ่มโครงการ โดยบอกเพียงแค่ครึ่งปีแรกที่มีรายงาน 9 พันครั้ง ซึ่งนักวิจัยจากประเทศอินเดีย, สหรัฐฯ และเม็กซิโกเป็นสามประเทศแรกที่มีนักวิจัยได้เงินจาก Facebook รวมแล้วเป็นจำนวนมากที่สุด
Chrome OS ออกอัพเดต 53.0.2785.144 แก้ไขชุดช่องโหว่ระดับสูงสุด คือสามารถฝังโค้ดไว้ในเครื่องเมื่อรันจากโหมด guest และโค้ดนี้สามารถใช้งานได้แม้จะบูตเครื่องใหม่แล้วก็ตาม
ปกติแล้ว Chrome OS มีระบบการตรวจสอบความถูกต้องของซอฟต์แวร์ระหว่างการบูตที่แน่นหนาอย่างมาก โครงการให้รางวัลรายงานช่องโหว่ของ Chrome นั้นจัดรางวัลสำหรับช่องโหว่แบบนี้แยกจากช่องโหว่อื่นๆ ให้รางวัลถึง 100,000 ดอลลาร์ ขณะที่ช่องโหว่อื่นมีรางวัลไม่เกิน 15,000 ดอลลาร์เท่านั้น
เว็บรีวิวร้านอาหาร Yelp ประกาศเปิดโครงการให้เงินรางวัลสำหรับการรายงานช่องโหว่ (bug bounty) มูลค่าสูงสุด 15,000 ดอลลาร์ บนเว็บ, บล็อก, เว็บจัดการการจองร้าน, และแอปบนโทรศัพท์มือถือ
ทาง Yelp ระบุว่าที่จริงแล้วบริษัทมีโครงการแบบนี้มาสองปีแล้ว แต่เป็นโครงการภายในที่ไม่ได้เปิดเผยต่อสาธารณะ และแก้ไขช่องโหว่ไปแล้วหลายร้อยรายการจากนักวิจัยหลายสิบคน การเปิดโครงการนี้เป็นการเปิดต่อสาธารณะเป็นครั้งแรก
หน้าโครงการใน HackerOne แสดงประวัติการจ่ายเงินรางวัลก่อนที่จะเปิดโครงการมาตั้งแต่สองปีที่แล้ว รางวัลส่วนมากอยู่ในช่วง 500 ถึง 1,000 ดอลลาร์
แอปเปิลประกาศเปิดโครงการหาบั๊กความปลอดภัยล่ารางวัลในงาน Blackhat โดยมีรางวัลสูงสุดถึง 200,000 ดอลลาร์ อย่างไรก็ดีโครงการนี้ไม่เปิดให้คนทั่วไป แต่ต้องเป็นนักวิจัยที่แอปเปิลเชิญเข้ามาเท่านั้น
การจัดหมวดหมู่ช่องโหว่แต่ละระดับรางวัลต่างกันไป ได้แก่
Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์
ปัญหาความปลอดภัยของระบบคอมพิวเตอร์ในรถร้ายแรงขึ้นเรื่อยๆ ในช่วงหลัง ตอนนี้ผู้ผลิตรถยนต์อันดับเจ็ดของโลกอย่าง Fiat Chrysler (FCA) ก็เปิดโครงการรวมกับเว็บ Bugcrowd
โครงการนี้เกิดขึ้นเกือบหนึ่งปีหลังจากรถยนต์ของ FCA เองมีช่องโหว่ร้ายแรงจนกระทั่งแฮกเกอร์สามารถเข้าควบคุมรถจากระยะไกล และบริษัทต้องอัพเดตรถจำนวน 1.4 ล้านคัน
FCA เป็นบริษัทรถยนต์บริษัทที่สองที่เปิดโครงการกับ Bugcrowd ตามหลัง Tesla ที่เปิดโครงการตั้งแต่ต้นปี โดยบั๊กของ FCA มีเงินรางวัล 150 ถึง 1,500 ดอลลาร์ เทียบกับ Tesla ที่มีเงินรางวัล 100 ถึง 10,000 ดอลลาร์
Pornhub เพิ่งเปิดโครงการหาช่องโหว่เว็บเมื่อต้นเดือนที่ผ่านมา ตอนนี้โครงการได้รับความสนใจสูงโดยทางเว็บได้รับรายงานหลายพันรายการ ทางเว็บระบุว่าได้เรียนรู้หลายอย่างและกำลังเพิ่มพนักงานเพื่อให้ตอบสนองต่อรายงานที่เข้ามาได้เร็วขึ้น เพิ่มเงินรางวัล และเพิ่มบริการ Pornhub Premium เข้าโครงการ
นอกจากเงินรางวัลแล้ว ทางเว็บจะแจกเสื้อยืดสำหรับนักวิจัยที่พบช่องโหว่ให้อีกด้วย