▲許多企業與駭客合作找出系統漏洞。(示意圖/取自免費圖庫Pixabay)
記者陳耕彥/綜合報導
在這個網路發達的時代,許多公司會與駭客合作找出軟體漏洞,以維護資訊安全。近日有駭客發現Steam出現嚴重漏洞,有心人士可以擅自更改Steam錢包中資金額度,藉此讓公司承受重大損失。在成功修補漏洞後為表達謝意,Valve也頒發獎金給這名發現問題的駭客。
漏洞懸賞平台HackerOne是媒合公司與安全研究人員或白帽駭客的平台,白帽駭客以改善為目標,破解某個程式做出修改,提醒裝置的系統管理員出現安全漏洞。一名自稱Drbrix的駭客透過HackerOne回報給營運Steam的公司Valve,表示發現Steam錢包的漏洞,只要攔截用戶在支付過程中的資料並加以竄改,就可以大量「灌水」,任意調整錢包資金的金額。
如果這項洗錢漏洞被有心人士發現,攻擊者將可以大量購買遊戲,再將序號賤價賣出,對遊戲平台所造成的損失將不容小覷。Valve在收到通報後已經將狀況排除,並且支付了7500美金(約新台幣20.8萬元)的獎賞給這名白帽駭客以示感謝。
根據HackerOne的統計,超過四分之三的懸賞項目會在刊登首日就被找出一個安全漏洞,而其中又有四分之一的漏洞嚴重程度被視為是「高度」或「嚴重」等級,而這次被駭客在Steam錢包中所發現的漏洞正屬嚴重級別,公司也表示希望白帽駭客們可以繼續回報狀況讓他們知道。
大企業和駭客合作的情況相當普遍,除了HackerOne以外,美國甚至還會舉辦黑帽大會(Black Hat USA),並舉辦有資安界奧斯卡獎之稱的「Pwnie Awards」。台灣的資安新創公司戴夫寇爾(DEVCORE)就在2021年的比賽中以發現微軟的安全漏洞而獲得「最佳伺服器漏洞獎」,也是台灣唯一獲獎的資安團隊。
讀者迴響