新加坡科技技術局(GovTech)於11月中開跑了第三個官方漏洞賞金計畫(BBP),邀請白帽駭客(White Hat)們,,在12個政府系統、應用程式中尋找程式錯誤碼或漏洞(bugs),該計劃將持續到12月8日。根據發現的漏洞的複雜度、嚴重程度,新加坡政府將發放從250美元到10,000美元(約台幣7,624元到30萬元之間)不等的賞金。
何謂漏洞賞金計畫(Bug Bounty Programme, BBP)?
漏洞賞金計劃是由組織和軟體開發人員達成共識,可以透過合理和符合倫理的過程,來發現網站上的漏洞,或是由漏洞所造成的可能傷害,經過通報,可以獲得認可和獎金。這樣的過程和賞金計畫,可以讓組織在漏洞被惡意運用造成傷害之前,發現並解決它們,避免濫用。漏洞賞金計劃已由許多組織實施,包括許多國際科技廠商:Facebook、 Yahoo、Google、 Reddit Microsoft 。除了科技公司之外,許多政府組職,像是管理網路安全部門的主管機構,甚至保守的國防部等,都慢慢開始使用漏洞賞金計劃。
新加坡科技技術局,啟動漏洞賞金計畫
新加坡科技技術局(GovTech)是隸屬於總理府下新加坡政府的法定委員會,於2016年成立,是推動新加坡智慧國家計劃和政府部門數位化轉型的主責機構,負責監督政府主要的ICT基礎設施,並監管公共部門的ICT採購、數據保護和網路安全。此次與新加坡網絡安全局(Cyber Security Agency)一同發起該計畫,並因應行動應用程式的偵錯過程越來越複雜,將針對發現行動App漏洞的開發者額外發放500美元(約台幣15,251元)的特別獎勵。
向白帽駭客招手,邀神手揪出政府網路服務漏洞
此外,這次發起的計畫當中,包含針對人民經常使用的12個政府系統,範圍涵蓋內政部、健康促進委員會、交通管理局、國稅局、會計和公司監管局、環境局以及國家發展部等網路服務都在此次計畫當中。與前兩次漏洞賞金計畫相似,參加者必須是在HackerOne中註冊的白帽駭客。全球駭客都歡迎參加。截至發稿,已有將近700名白帽駭客完成註冊。
科技技術局表示,漏洞賞金競賽中發現的任何漏洞都將回報給相關組織進行補救。也將在明年2月之前分享主要發現的漏洞。前兩次的漏洞賞金競賽涵蓋14個政府系統,總共支付了近38,000美元(約新台幣116萬元)的賞金。
補充漏洞競賽的限制與不足,科技技術局也同時啟動「漏洞揭露程序計畫(Vulnerability Disclosure Programme), VDP」。
漏洞賞金計畫是有時間限制的,並且只限於固定的系統和服務。為了對此計畫進行補充,科技技術局於2019年10月1日也啟動了漏洞披露程序計畫(VDP)。漏洞披露程序計畫邀請有接露自我身分的大眾,並接受他們不管在哪一個政府網站或是手機應用程序中發現漏洞的報告。不過,有點要注意的是,在漏洞揭露程序計畫下發現的漏洞將不會獲得政府的賞金獎勵喔。
新加坡國防部也不落人後,成功發現20個Bug
除了科技部外,新加坡的第二個官方漏洞賞金計畫,是由國防部於今年9月主辦,主要針對新加坡武裝部隊Singapore Armed Forces(SAF)和其他國防機構來揪出漏洞。該次活動一共有305位白帽駭客參與,其中134位來自新加坡,171位則為國際駭客。在為期一個月的時間中,白帽駭客共提交52個漏洞報告,其中有20個被認為是有效的,發出出的賞金總額為16,000美元(約新台幣49萬元)。
資料來源:
1. The straitstimes- Hackers to test 12 govt systems in bug bounty programme
2. The straitstimes- NSF is top hacker in Mindef's programme that gives cash for discovering software bugs
3. SecurityBrief
4. CSR
責任編輯:江可萱、蕭閔云
