OpenAI宣布,為了提升網絡安全性,將會推出自家的賞金獵人(bounty hunter)計劃,只要有人向公司舉報安全問題,一經確認即可獲得 200 至 20,000 美元賞金。不過,OpenAI 指明賞金只對應系統存在的安全漏洞,不包括破解版的 ChatGPT。 想知最新科技新聞?立即免費訂閱 ! 自從 OpenAI 去年推出 ChatGPT 人工智能聊天機械人後,隨即引來各界關注,更帶動其他科技公司推出各種 AI 服務,加速業界發展。不過,快並不一定是好事,好似 OpenAI 在推出 ChatGPT…
Search Results: 賞金獵人 (12)
網絡安全賞金獵人平台 HackerOne 有好消息宣布,旗下其中一位賞金獵人 Cosmin Lordache 所獲得的總賞金衝破 200 萬美元,成為平台排名第一的獵人。最令人振奮的是距離他突破 100 萬美元關卡,僅僅用了 334 日!錢途無限呀! HackerOne 是一個雲集道德黑客 (ethical hacker) 的集團,專門發掘高科技公司的安全漏洞,而與平台合作的政府機構及高科技企業已達過千間。只要旗下黑客發現到這些企業的安全漏洞,一經核實,機構或企業就會按約定派出賞金,而 HackerOne 旗下的賞金獵人 (Bug…
疫境下全球失業率急升,但有幾個行業不受影響,如常運作,其中一個就係協助堵塞網絡保安漏洞嘅白帽黑客。 講到黑客,好似一定犯法,其實不然。有道德嘅一班高手,選擇向網絡保安服務商舉報漏洞,以前可能當響朵贏得一官半職,隨著網絡安全得到重視,賞金平台 HackerOne 開張大吉,一班白帽黑客就可以靠賞金過活。係咪好想知點樣入行?賞金行情?由曾黑入美國政府嘅 Tommy DeVoss、由程式員轉職嘅 Cosmin、HackerOne 首位累計過百萬美元賞金嘅 Santiago Lopez,三位全職賞金獵人向大家披露入行心得。小編將之總結成以下 5 大重點。 實質工作流程係點先? 要睇大量文件、熟用 Burp、Sublist3r、dnscan,亦要開發個人工具、不斷吸收最新網絡保安資訊、寫報告、搵出自己擅長嘅保安範疇與策略等。技巧方面,唔可以只參考一個黑客嘅工作方式,要喺唔同人身上偷師,融會貫通,建立個人風格。呢份工好花時間,有時埋門一腳會被人截糊,第 2 名係一蚊都分唔到,所以唔好以為真係篤吓電腦就有錢袋咁 naive,真係要有興趣「捉蟲」,保持好奇心,享受破解嘅快感,唔好下下用錢衡量付出。 收入有幾多? 一個有料嘅白帽,每星期做…
去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed,曾於成功透過操控智能合約的漏洞,從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁,同時沒收所有詐騙得來的金錢,成為首宗因濫用智能合約被定罪的個案。 隨著區塊鏈科技興起,去中心化金融(DeFi)成為一種新興的金融技術,這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管,而且交易的透明度高,交易速度亦較傳統銀行快,所以發展潛力極大。 想知最新科技新聞?立即免費訂閱! 由於相關的交易不受監管,借貸亦不需要有資產抵押或當事人背景審查,所以容易發生騙案,而智能合約(smart contract)便是用於減低詐騙風險的手段之一,以貸款為例,一旦借款人無法履行合約內容,例如支付利息或還款,智能合約可自動取消之前的交易,某程度上可保障貸款人的安全。 不過,由於智能合約都是新興技術,所以並非所有人都能完全熟悉其操作,並察覺到是否有漏洞存在,因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊,當中閃電貸(flash loan)攻擊就是熱門手段,Shakeeb 犯下的其中一宗個案,便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。 該智能合約的設計原理是,當平台發現 ANA 的購買量增加時,價格便會提升,但…
Facebook 母公司 Meta 積極開發元宇宙技術及硬件配套,相信好多人都知,原來 Meta 在推出 Meta Quest Pro 這類虛擬實景眼鏡及控制器時,都不忘關注硬件的網絡安全問題,廣邀專家測試新硬件的安全性,至今已派出數十萬港元賞金,不過, Meta 的賞金計劃背後還有宏願,就是一併推動業界產品的安全性,造福用家。 Meta 上年 10 月推出新一代專為 Metaverse 元宇宙使用的虛擬實景裝置 Meta Quest…
美國國土安全部 (The Department of Homeland Security) 去年啟動 Hack DHS 賞金獵人計劃,以賞金邀請有能之士找到系統的安全盲點。計劃執行近半年,DHS 方面公布已堵塞 122 個安全漏洞,當中有 27 個屬極危險級別,而整體只發放了 12.5 萬美元獎金,可見這類賞金獵人計劃的性價比極高。 針對他國發動網絡攻擊,藉此窒礙敵國的經濟發展或刺探政治軍事機密,有時比起派間諜執行更有效率。作為全球最大影響力的美國政府,單在去年已多次指控俄羅斯政府放任黑客集團攻擊,對美國市民造成能源短缺、大量企業受到勒索軟件攻擊等後果。而為了加強國家網絡安全防禦力,美國聯邦政府曾發出行政指令,要求各政府機關盡快堵塞系統漏洞,並發出指引要求各部門執行。 不過,要找出系統漏洞,單靠部門內的專家未必可行,最有效率的方法是邀請外人調查,過程才能做到不偏不倚,探查能力甚至會更大。有見及此,美國國土安全部便於 2019…
Cisco 為旗下的電郵安全服務 Email Security Appliance (ESA) 推出安全更新,官方指這次更新可堵塞三個安全漏洞,其中影響最大的一個是可導致電郵裝置發生阻斷服務 (DoS),持續無法通過管理介面傳送及接收電郵。如果 ESA 裝置運行的 Cisco AyncOS 軟件屬於 14.0、13.5、13.0、12.5 或較前版本,同時又啟動了內置的 DANE 功能,統統都要即時升級。繼本月初 Cisco 為小企業向無線 router…
要搵出應用服務的網絡安全漏洞,有時好難全部依賴員工,Bounty 賞金計劃某程度上就令公司獲得大批有經驗的外援。Facebook 作為一間擁有自家賞金計劃的公司,近日為免因內部調查舉報漏洞的時間過長,引起賞金獵人不滿,重新改善賞金制度,調查時愈長,賞金將會愈多,等得耐都抵啦! Bounty Hunter 賞金獵人是發掘漏洞的好幫手,而且事實亦證明,最熟悉自家應用服務漏洞的人,往往不是自己的員工。以 Apple iOS 為例,揭發得最多嚴重漏洞的人竟然來自 Google 的 Project Zero 安全團隊,而 Apple 亦於去年十月成功將這個最佳 iOS hacker Brandon Azad…
「重賞之下必有勇夫」這句說話可謂世界通行,有黑客組織早前就在俄羅斯一個地下討論區,以 11.5 萬美元獎金,邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法,包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束,不過主辦方現時已收到不少「學術」研究。 集思廣益是其中一個搵出漏洞的最佳方法,白帽黑客界亦有採用這種方式,當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣,旗下擁有約 60 萬會員,成員更來自全球 170 個地區。上年其中一個會員…
賞金獵人平台 HackerOne 與 Verizon Media 聯合舉辦嘅 Cyber Security Events & Conferences,本來預計今年 3 月喺新加坡舉辦,但受疫情影響,大會唯有改喺網上進行。活動共有來自 13 個國家嘅 50 個黑客參加,喺為期 13 日嘅活動內依然盡興,兼且打破唔少紀錄,一眾白帽黑客更響應 HackerOne…