Meta雙重認證漏洞急修復 重賞建功 網安高手揭破綻
原文刊於信報財經新聞「StartupBeat創科鬥室」
![](https://startupbeat.hkej.com/wp-content/uploads/2023/02/0201_P08-1024x667.jpg)
為防止不法之徒騎劫賬號,不少平台要求用戶設定個人手機號碼,以啟用雙重身份認證(2FA)。科技媒體The Verge報道,有保安專家發現Facebook(fb)母公司Meta賬戶中心存在漏洞,只要不斷重複輸入6位數字的驗證碼,黑客便能暴力破解2FA功能,以網釣騙取受害人密碼後,即可接管對方賬戶。
尼泊爾安全研究員Gtm Mänôz近日在網誌稱,他在去年9月14日報告上述問題,經漏洞獎勵計劃(Bug Bounty),獲發放獎金2.72萬美元(約21.22萬港元),Meta隨後於12月成功修復漏洞。根據fb支付指南,若漏洞涉及「行動遠端程式碼執行」(mobile RCE),報料最高賞金高達30萬美元。
印度取獎金冠絕全球
Meta早前在網誌指出,去年漏洞獎金排名前三甲國家,分別是印度、尼泊爾及突尼斯。自2011年以來,公司收到超過17萬份報告,其中超過8500份獲得獎金,至今支付超過1600萬美元。至於Quest等虛擬眼罩產品,若涉及持續繞過安全啟動,將獲得高達3萬美元獎金。
![](https://startupbeat.hkej.com/wp-content/uploads/2023/02/0201_P10-1024x576.jpg)
除了Meta,多個主要科企巨頭,近年相繼設立巨額獎金,鼓勵保安高手申報漏洞。谷歌(Google)回顧2021年的賞金撥款,達到破紀錄870萬美元,惠及全球696名研究人員。
截至2022年6月底的一年內,微軟亦向各地335名研究人員,頒發1370萬美元漏洞賞金,最高金額為20萬美元。
蘋果公司自2016年成立漏洞懸賞計劃(Apple Security Bounty),鼓勵用戶發掘並報告系統破綻,累計已頒發近2000萬美元(1.56億港元)獎金。及至2022年10月,蘋果再成立全新安全研究網站。若涉及某些嚴重保安問題,例如繞過鎖定模式等,額外賞金高達200萬美元(約1560萬港元),出手較其他科企闊綽。
![](https://startupbeat.hkej.com/wp-content/uploads/2023/02/0201_P06-1024x683.jpg)
蘋果闊綽 累發1.5億元
網絡犯罪行業蓬勃發展,不論勒索軟件或網騙集團,幕後主腦亦要IT專才効力。俄羅斯防毒軟件公司卡巴斯基(Kaspersky)周一發表報告提到,有犯罪組織不惜重金禮聘,以六位數(即10萬美元起)人工、花紅及有薪假期等「搶人才」。但強調求職者無不良嗜好,例如沒吸毒及酒精成癮,這類人士才有機會獲選中。
在2020年1月至2022年6月期間,卡巴斯基審查了155個暗網論壇,發現開發人員最渴市,佔招聘廣告總數61%;攻擊者(滲透測試者),以16%排名第二;設計師則佔10%位列第三。薪酬通常以加密貨幣支付,人工最高工種是編碼,每月收入高達2萬美元;逆向工程師方面,月薪中位數達到4000美元。
英國廣播公司(BBC)引述數據私隱專家Lauren Wills-Dixon說:「在這個新世界中,談到網絡攻擊,並非『會否』發生,而是『何時』發生。」她分析,零售商是網絡攻擊最常見目標之一,因它們持有大量客戶數據,但行業愈來愈習慣利用科技來降低管理費及簡化營運,此舉進一步增加風險。
![](https://startupbeat.hkej.com/wp-content/uploads/2023/02/0201_P07-1024x684.jpg)
支持EJ Tech
![](http://ejtech.hkej.com/wp-content/uploads/2024/04/banner1-scaled.jpg)
![](http://ejtech.hkej.com/wp-content/uploads/2024/04/banner2-1.jpg)
Related Posts
Latest News
-
巴黎奧運|阿里雲利用AI技術 為體育盛事歷史時刻添色彩
奧運開幕在即,阿里巴巴集團在巴黎舉行了短片《永不失色的她》(To the Greatness of HER)的首映禮,展示自19世紀末以來性別平等的發展歷程。
- Posted July 26, 2024
- 0
-
固網寬頻新標準F5G-A(林國誠)
流動通訊網絡由最初2G直至現時的5G,一說起大家都知這裏的G就是指Generation,代表了第幾代流動通訊網絡,最新標準有5.5G(又稱5G-Advanced)。可是,就固網寬頻而言,香港從來沒有一個統一標準,所以不同互聯網服務供應商提供的體驗均有參差。
- Posted July 26, 2024
- 0
-
CrowdStrike事件的警示(黃岳永)
2024年7月19日無聲無息隨機爆發─網絡安全巨頭CrowdStrike的一次例行更新,意外導致全球數以百萬計的Windows電腦出現「藍屏死機」。
- Posted July 26, 2024
- 0
-
新護膚產品|新防曬乳抗紫外線強三成
美國西北大學兩位科學家德拉維(Leila Deravi)及馬丁(Camille Martin),她們配製出一種新護膚成份Xanthochrome,標榜為全球首款以章魚為靈感的防曬乳。
- Posted July 26, 2024
- 0
-
政府新部門|數字辦成立 提升政府效率
創新科技及工業局轄下的數字政策辦公室(數字辦)昨天正式成立,旨在合併原來的政府資訊科技總監辦公室(資科辦)及效率促進辦公室(效率辦),以加快數字政府建設。
- Posted July 26, 2024
- 0
-
fb吸客|二十歲慶生 五大變革吸年輕客
社交媒體Facebook(fb)今年面世20周年,似乎漸被年輕一代冷落。fb昨天舉辦亞太傳媒簡報會「The Future of Facebook」,該公司總監艾利森(Tom Alison)在席上表示,旗下核心產品將會「重大升級」,為下代社媒消費者做好準備。
- Posted July 26, 2024
- 0
-
AI個別定價?|美國八企業 AI追蹤消費行為個別定價
美國聯邦貿易委員會(FTC)周二(23日)向8間公司發出命令,指他們利用人工智能(AI)及演算法,追蹤消費者特徵及行為,例如位置、人口統計、信用紀錄、瀏覽或購物歷史等資訊,為商品設定個人化價格。
- Posted July 26, 2024
- 0