| 私下漏洞通報 | GitHub | 漏洞通報 | 公共儲存庫漏洞

GitHub正式啟用私下漏洞通報管道

私下漏洞通報管道允許研究人員直接向維護人員揭露漏洞,並讓雙方得以合作進行修復

2023-04-24

| GitHub | 公開儲存庫 | 漏洞通報

GitHub提供研究人員通報公開儲存庫漏洞的私下管道

GitHub將對第三方安全研究人員提供該平臺上公開儲存庫漏洞的通報管道

2022-11-15

| 中國 | 漏洞揭露政策 | 零時差漏洞 | 漏洞通報 | 國家級駭客

微軟:中國漏洞揭露政策可能助長國家級駭客濫用零時差漏洞

微軟推測中國政府透過立法干涉境內安全漏洞通報機制,與這一年來中國駭客所使用零時差攻擊程式的增加有關聯性,微軟這份2022年數位防禦報告中,也指出這一年國家級攻擊鎖定重大基礎設施的比例比去年增加一倍

2022-11-07

| google | 漏洞通報 | 漏洞獎勵 | Bug Bounty | Android漏洞 | Chrome漏洞

Google去年總計發出870萬美元的抓漏獎金,Chrome與Android漏洞占7成

Google在2021年針對Chrome以及Android漏洞,頒發了600多萬美元獎金給外部研究人員,兩者合占Google抓漏獎金總額7成

2022-02-14

| Uber | 安全漏洞 | 漏洞通報 | 網釣攻擊

Uber含有一個讓任何人都能以Uber官方帳號寄送郵件的安全漏洞

有4名研究人員先後發現同一個能濫用Uber官方帳號發動網釣攻擊的安全漏洞,但他們宣稱Uber在得知此事時卻態度冷漠或不予回應

2022-01-03

| 白帽駭客 | 漏洞通報 | 電腦犯罪 | 修法 | 安全漏洞 | 漏洞揭露 | Bug Bounty

安全研究組織倡議修法保護白帽駭客

代表22國網路安全研究人員的法國非營利組織CyAN和零時差立法專案(Zero Day Legislative Project)倡議修改過時的電腦犯罪法令,讓通報安全漏洞資訊給廠商的研究人員,免於不合理的訴訟威脅

2021-10-13

| Fortinet | 漏洞揭露 | 漏洞通報 | 資安

Fortinet抨擊安全廠商在90天保密期限前就揭露其產品漏洞

被Rapid 7通報產品漏洞的Fortinet,批評Rapid 7沒遵守業界通用的90天修補期限,便逕自公布漏洞細節,而宣稱自家漏洞保密期只有60天的Rapid 7,在Fortinet未回應後續修補進度下,期限一到就對外公開Fortinet產品漏洞

2021-08-19

| Zyxel | 合勤控 | 兆勤科技 | MITRE | CNA計畫 | CVE | 產品安全 | PSIRT | 漏洞通報

臺廠Zyxel加入CVE編號管理者,2021上半MITRE CNA計畫成員大增

近期國內網通設備大廠兆勤科技宣布,Zyxel成為MITRE通用漏洞揭露計畫的CVE Numbering Authority(CNA)成員,值得關注的是,近年國際間越來越多廠商也看重並加入這項計畫,前年新增17個,去年新增40個,光是今年上半又增加29個。

2021-07-29

| 美國國防部 | DOD | 漏洞獎勵 | 漏洞通報 | 漏洞揭露 | 資安 | 供應鏈攻擊 | HackerOne

美國國防部擴大抓漏專案到所有對外網路

今年美國國防部(DOD)先後宣布將漏洞獎勵計畫範圍,延伸到外部承包商以及DOD所有可公開存取的資訊系統

2021-05-05

| 抓漏獎勵 | Bug Bounty | 漏洞通報 | sony | 遊戲製造商

Sony替PS4推出抓漏獎勵計畫,三大遊戲機製造商全到齊

Sony的漏洞通報獎勵範圍為PS4、作業系統、配件與PlayStation Network,包括現有的版本與系統軟體的測試版,未包含PS1/2/3/Vita及PSP

2020-06-26

| 漏洞通報 | 抓漏獎勵 | HackerOne

HackerOne成立8年來已頒發1億美元抓漏獎金,預計只需5年就能突破10億美元門檻

HackerOne平臺上有超過70萬名合作的白帽駭客,成立至今提出了17萬個有效漏洞,官方估計還有1億個漏洞尚未被揭發,由企業發出的抓漏獎金總額,未來5年間可望達到10億美元

2020-05-29

| Voatz | HackerOne | MIT | 漏洞通報 | 抓漏

HackerOne把投票程式開發商Voatz踢出漏洞通報平台

HackerOne終止提供Voatz官方漏洞通報服務,原因是這家投票程式開發商與HackerOne的安全社群發生衝突

2020-04-01