| 白帽駭客 | 漏洞通報 | 電腦犯罪 | 修法 | 安全漏洞 | 漏洞揭露 | Bug Bounty

安全研究組織倡議修法保護白帽駭客

代表22國網路安全研究人員的法國非營利組織CyAN和零時差立法專案(Zero Day Legislative Project)倡議修改過時的電腦犯罪法令,讓通報安全漏洞資訊給廠商的研究人員,免於不合理的訴訟威脅

2021-10-13

| Fortinet | 漏洞揭露 | 漏洞通報 | 資安

Fortinet抨擊安全廠商在90天保密期限前就揭露其產品漏洞

被Rapid 7通報產品漏洞的Fortinet,批評Rapid 7沒遵守業界通用的90天修補期限,便逕自公布漏洞細節,而宣稱自家漏洞保密期只有60天的Rapid 7,在Fortinet未回應後續修補進度下,期限一到就對外公開Fortinet產品漏洞

2021-08-19

| 美國國防部 | DOD | 漏洞獎勵 | 漏洞通報 | 漏洞揭露 | 資安 | 供應鏈攻擊 | HackerOne

美國國防部擴大抓漏專案到所有對外網路

今年美國國防部(DOD)先後宣布將漏洞獎勵計畫範圍,延伸到外部承包商以及DOD所有可公開存取的資訊系統

2021-05-05

| SonicWALL | 漏洞揭露

導致SonicWall被駭的SSL VPN漏洞,傳出已有其他攻擊行動開始運用

針對SonicWall遭駭的事件,該公司公告疑似與攻擊有關的自家SSL VPN產品漏洞,如今已被發現有其他攻擊者濫用了!該公司亦提出用戶應考慮暫停使用,或者採取回復舊版韌體的緩解措施

2021-02-02

| 新加坡 | 漏洞揭露 | 抓漏 | 資安

新加坡政府請研究人員為政府網站找漏洞,不過沒獎金

這項漏洞揭露方案是由新加坡政府科技署推出,HackerOne代管,希望研究人員無償協助星國政府IT抓漏

2019-10-02

| CTS Labs | AMD | 漏洞揭露

通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題

CTS Labs認為現行的「責任揭露」精神有嚴重的問題,漏洞在修補期間由供應商決定是否要通知用戶,大多數供應商都在修補完畢後才告知,在修補期間用戶將處於安全風險而不知情,最好的做法是同一天通報業者及告知用戶,直到漏洞被修補之後再公布技術細節。

2018-03-15

| ESNC | PwC | 漏洞揭露

見笑轉生氣?資安公司善意揭露漏洞反遭PwC發律師信警告不准公開

德國資安研究公司ESNC在8月揭露了PwC針對SAP開發的自動控制評估ACE存在漏洞,儘管ESNC當時已通報PwC,按業界揭露漏洞常態以三個月為期待PwC修復後再公佈漏洞,但遭到PwC發出律師信要求不得公開,引發外界議論。

2016-12-13