「2020 IDB X HITCON 漏洞挖掘競賽」首次以未上市產品為標的  透過白帽駭客協防 消弭潛在資安漏洞
「2020 IDB X HITCON 漏洞挖掘競賽」首次以未上市產品為標的 透過白帽駭客協防 消弭潛在資安漏洞

由台灣駭客協會所主辦HITCON2020活動,今年特別與經濟部工業局聯合舉行漏洞挖掘競賽(Bug Bounty Challenge),本次競賽創下國內以廠商未上市物聯網產品為標的之創舉,借重資安社群白帽駭客技術能力與思維,挖掘出各種潛在的漏洞,在漏洞被犯罪份子利用之前,透過資安攻防場域進行滲透測試,檢視物聯網設備、應用系統之資訊安全等級和防護能力,以強化產品安全性,並提供選手實際練兵的機會,藉此培育產品漏洞檢測人才。本次競賽參與產品以行動支付與聯網設備( Router、IP Cam )為主,在各團隊挖掘出漏洞並向評審陳述漏洞發現手法後,由「H1dra Security Team 」與「夜梟x鴿鴿x與牠們的飼料」分別奪得聯網設備組與行動支付組冠軍,各獲得新台幣5萬元獎金。由團隊挖掘出的漏洞,亦同時提供國內參與業者進行漏洞修補。

工研院王子夏博士表示,台灣常見的資安漏洞以無效的存取控管與跨網站指令碼(XSS)攻擊為大宗,所以先前漏洞挖掘競賽以網路攻擊為主。但有鑑於近來萬物皆可駭,愈來愈多聯網產品成為攻擊目標,所以主辦單位首次以設備端為標的進行漏洞挖掘競賽。本次競賽由廠商提供8項產品參與測試,經由選手的努力測試,共計找出60 個漏洞,已通報企業進行修補。

對於這次競賽的團隊,HITCON CTF 領隊暨CTF競賽負責人,同時也是評審之一的李倫銓表示:「這次參賽的團隊皆擁有厚實的技術實力,有許多令人眼睛為之一亮的論述與發現。這是台灣近年來培育資安人才的成果,彌足珍貴。但在籌備的過程中,我們也明顯感受到人才斷層的危機,缺乏具吸引力的獎勵機制、人口負成長等等,皆是必須積極面對的問題,才能讓之前累積的資安能量持續升溫。」

由於近年來金融科技 Fintech 的發展迅速,行動商務及電子支付提供較傳統支付更快速便捷。但如何兼顧便捷與交易安全,是電子支付產業所要面對的嚴肅課題。不論是資料安全、交易安全、或是行動裝置安全等面向,企業均須在便利與安全間權衡取捨,建立並維護完善的風險管理機制。而隨著5G與物聯網的持續升溫,帶動資安威脅模式的演變,許多物聯網裝置可能直接利用網路,連線到伺服器,而繞過現有的層層防護,在無意間成為攻擊目標。對企業來說,產品的推陳出新固然重要,但加速落實物聯網隱私與消弭潛在安全漏洞亦刻不容緩。

許多跨國企業為了讓產品及本身的服務更安全,透過漏洞回報獎勵計畫(Bug Bounty),希望藉由全球的白帽駭客一起協助,找出系統未知的漏洞或弱點,減少遭受駭客攻擊的機會。工研院提出的2020年資通訊安全全球發展趨勢中指出「白帽駭客協防」亦是其中重要的一環,可預見未來利用外部資源的漏洞舉報,減少網路犯罪與資料洩漏與盜竊的機會,已成為廠商強化產品安全的重要工作。台灣駭客協會所屬的HITCON ZeroDay 漏洞通報平台,提供資安專家通報組織漏洞,營運至今已協助全臺數百家企業執行逾千件的漏洞通報與修復,有效降低產品發生資安風險的內部成本。李倫銓表示:「打造台灣資安漏洞通報生態圈,必須先建立企業與社群通報者之間的互信機制。藉由透明暢通的管道,讓社群協助企業盡快修補不足,不僅能降低漏洞帶來的傷害,還能形塑企業『重視資安』的形象,讓社群樂於貢獻,是企業化危機為轉機,促成正向資安環境發展的契機。」

台灣駭客協會
「2020 IDB X HITCON 漏洞挖掘競賽」聯網設備組冠軍
圖/ 台灣駭客協會

「2020HITCON 漏洞挖掘競賽」獲獎隊伍
- 聯網設備類

隊伍名稱 名次/獎金
H1dra Security Team 冠軍/獎金新台幣5萬元
UCC 優不 亞軍/新台幣3萬元
夜梟x鴿鴿x與牠們的飼料 季軍/新台幣2萬元
  • 行動支付類
隊伍名稱 名次/獎金
夜梟x鴿鴿x與牠們的飼料 冠軍/新台幣5萬元

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
蘋果能再次偉大?
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓