By 信報財經新聞 on October 13, 2020
原文刊於信報財經新聞「StartupBeat創科鬥室」
大型科技公司一直都有「賞金獵人」計劃,旨在吸引安全研究人員主動滙報已知漏洞,及早堵塞。一名20歲青年率領黑客團隊,今年7月起攻擊蘋果公司(Apple Inc.)系統漏洞,截至本月初已發現並報告了55項漏洞,獲得蘋果公司發放28.85萬美元(約225萬港元)賞金。
專門研究網站安全的青年Sam Curry在網誌提到,他於7月瀏覽Twitter時注意到一篇文章,文中指一位研究人員因發現繞過身份驗證漏洞,獲得蘋果公司10萬美元獎勵。他決定碰碰運氣,聯絡之前合作過的4位黑客,問對方是否願意一齊努力向蘋果公司施以攻擊,且看能找到什麼漏洞。
數小時內即作修補
各人最終花了數百小時,成功發現了蘋果公司的55項保安漏洞;其中11項更屬於嚴重漏洞,黑客可繞過授權和身份驗證遠程執行代碼,藉此控制蘋果公司的核心基礎架構,從中竊取私人電郵、iCloud數據及其他敏感訊息,甚至可檢索內部源代碼。
根據蘋果公司的Apple Security Bounty(蘋果漏洞獎賞)計劃,其系統漏洞的最高賞金可達100萬美元(約780萬港元)【表】。
當Curry向蘋果公司滙報有關漏洞後,公司對報告反應非常迅速,短短數小時內已修補了不少漏洞。蘋果公司更承諾按照賞金計劃,向團隊給予32筆付款,總計28.85萬美元。
科技媒體Ars Technica報道,年僅20歲的Curry坦言,收到蘋果公司的回覆電郵後非常震驚,他們小組的每個人至今仍然有些惶恐,因從未曾獲得如此豐厚的報酬。接下來的幾個月,當蘋果公司處理了剩下的安全項目,他們更有望獲得超過50萬美元(約390萬港元)獎金。
另一方面,社交平台Facebook(fb)上周五(9日)針對其漏洞賞金平台,推出首個忠誠度計劃Hacker Plus,按照漏洞獵人往績給予等級(聯盟)資格,排名分為鑽石、鉑金、金、銀及青銅共5個等級。除獲得額外獎金及徽章,鑽石及鉑金等級成員還可免費參加年度活動(例如黑客大會DEFCON)。
fb新工具助找程式錯誤
此外,fb推出了一個全新的漏洞發現工具FBDL(Facebook Bug Description Language),讓漏洞獵人提交的報告時,能夠更輕鬆地重現有關錯誤。fb更會為採用FBDL工具的報告提供額外獎金,金額為基本獎金的5%(上限500美元)。
1 則留言:
張貼留言