Meta雙重認證漏洞急修復 重賞建功 網安高手揭破綻
原文刊於信報財經新聞「StartupBeat創科鬥室」
為防止不法之徒騎劫賬號,不少平台要求用戶設定個人手機號碼,以啟用雙重身份認證(2FA)。科技媒體The Verge報道,有保安專家發現Facebook(fb)母公司Meta賬戶中心存在漏洞,只要不斷重複輸入6位數字的驗證碼,黑客便能暴力破解2FA功能,以網釣騙取受害人密碼後,即可接管對方賬戶。
尼泊爾安全研究員Gtm Mänôz近日在網誌稱,他在去年9月14日報告上述問題,經漏洞獎勵計劃(Bug Bounty),獲發放獎金2.72萬美元(約21.22萬港元),Meta隨後於12月成功修復漏洞。根據fb支付指南,若漏洞涉及「行動遠端程式碼執行」(mobile RCE),報料最高賞金高達30萬美元。
印度取獎金冠絕全球
Meta早前在網誌指出,去年漏洞獎金排名前三甲國家,分別是印度、尼泊爾及突尼斯。自2011年以來,公司收到超過17萬份報告,其中超過8500份獲得獎金,至今支付超過1600萬美元。至於Quest等虛擬眼罩產品,若涉及持續繞過安全啟動,將獲得高達3萬美元獎金。
除了Meta,多個主要科企巨頭,近年相繼設立巨額獎金,鼓勵保安高手申報漏洞。谷歌(Google)回顧2021年的賞金撥款,達到破紀錄870萬美元,惠及全球696名研究人員。
截至2022年6月底的一年內,微軟亦向各地335名研究人員,頒發1370萬美元漏洞賞金,最高金額為20萬美元。
蘋果公司自2016年成立漏洞懸賞計劃(Apple Security Bounty),鼓勵用戶發掘並報告系統破綻,累計已頒發近2000萬美元(1.56億港元)獎金。及至2022年10月,蘋果再成立全新安全研究網站。若涉及某些嚴重保安問題,例如繞過鎖定模式等,額外賞金高達200萬美元(約1560萬港元),出手較其他科企闊綽。
蘋果闊綽 累發1.5億元
網絡犯罪行業蓬勃發展,不論勒索軟件或網騙集團,幕後主腦亦要IT專才効力。俄羅斯防毒軟件公司卡巴斯基(Kaspersky)周一發表報告提到,有犯罪組織不惜重金禮聘,以六位數(即10萬美元起)人工、花紅及有薪假期等「搶人才」。但強調求職者無不良嗜好,例如沒吸毒及酒精成癮,這類人士才有機會獲選中。
在2020年1月至2022年6月期間,卡巴斯基審查了155個暗網論壇,發現開發人員最渴市,佔招聘廣告總數61%;攻擊者(滲透測試者),以16%排名第二;設計師則佔10%位列第三。薪酬通常以加密貨幣支付,人工最高工種是編碼,每月收入高達2萬美元;逆向工程師方面,月薪中位數達到4000美元。
英國廣播公司(BBC)引述數據私隱專家Lauren Wills-Dixon說:「在這個新世界中,談到網絡攻擊,並非『會否』發生,而是『何時』發生。」她分析,零售商是網絡攻擊最常見目標之一,因它們持有大量客戶數據,但行業愈來愈習慣利用科技來降低管理費及簡化營運,此舉進一步增加風險。
支持 StartupBeat
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
