Meta雙重認證漏洞急修復 重賞建功 網安高手揭破綻
原文刊於信報財經新聞「StartupBeat創科鬥室」

為防止不法之徒騎劫賬號,不少平台要求用戶設定個人手機號碼,以啟用雙重身份認證(2FA)。科技媒體The Verge報道,有保安專家發現Facebook(fb)母公司Meta賬戶中心存在漏洞,只要不斷重複輸入6位數字的驗證碼,黑客便能暴力破解2FA功能,以網釣騙取受害人密碼後,即可接管對方賬戶。
尼泊爾安全研究員Gtm Mänôz近日在網誌稱,他在去年9月14日報告上述問題,經漏洞獎勵計劃(Bug Bounty),獲發放獎金2.72萬美元(約21.22萬港元),Meta隨後於12月成功修復漏洞。根據fb支付指南,若漏洞涉及「行動遠端程式碼執行」(mobile RCE),報料最高賞金高達30萬美元。
印度取獎金冠絕全球
Meta早前在網誌指出,去年漏洞獎金排名前三甲國家,分別是印度、尼泊爾及突尼斯。自2011年以來,公司收到超過17萬份報告,其中超過8500份獲得獎金,至今支付超過1600萬美元。至於Quest等虛擬眼罩產品,若涉及持續繞過安全啟動,將獲得高達3萬美元獎金。

除了Meta,多個主要科企巨頭,近年相繼設立巨額獎金,鼓勵保安高手申報漏洞。谷歌(Google)回顧2021年的賞金撥款,達到破紀錄870萬美元,惠及全球696名研究人員。
截至2022年6月底的一年內,微軟亦向各地335名研究人員,頒發1370萬美元漏洞賞金,最高金額為20萬美元。
蘋果公司自2016年成立漏洞懸賞計劃(Apple Security Bounty),鼓勵用戶發掘並報告系統破綻,累計已頒發近2000萬美元(1.56億港元)獎金。及至2022年10月,蘋果再成立全新安全研究網站。若涉及某些嚴重保安問題,例如繞過鎖定模式等,額外賞金高達200萬美元(約1560萬港元),出手較其他科企闊綽。

蘋果闊綽 累發1.5億元
網絡犯罪行業蓬勃發展,不論勒索軟件或網騙集團,幕後主腦亦要IT專才効力。俄羅斯防毒軟件公司卡巴斯基(Kaspersky)周一發表報告提到,有犯罪組織不惜重金禮聘,以六位數(即10萬美元起)人工、花紅及有薪假期等「搶人才」。但強調求職者無不良嗜好,例如沒吸毒及酒精成癮,這類人士才有機會獲選中。
在2020年1月至2022年6月期間,卡巴斯基審查了155個暗網論壇,發現開發人員最渴市,佔招聘廣告總數61%;攻擊者(滲透測試者),以16%排名第二;設計師則佔10%位列第三。薪酬通常以加密貨幣支付,人工最高工種是編碼,每月收入高達2萬美元;逆向工程師方面,月薪中位數達到4000美元。
英國廣播公司(BBC)引述數據私隱專家Lauren Wills-Dixon說:「在這個新世界中,談到網絡攻擊,並非『會否』發生,而是『何時』發生。」她分析,零售商是網絡攻擊最常見目標之一,因它們持有大量客戶數據,但行業愈來愈習慣利用科技來降低管理費及簡化營運,此舉進一步增加風險。

支持EJ Tech


Related Posts
Latest News
-
城大啟動HK Tech 300國際創新創業千萬大賽 促進創新與國際化協同發展
香港城市大學(城大)於上月23日宣布啟動「HK Tech 300國際創新創業千萬大賽」(HK Tech 300國際大賽),進一步將HK Tech 300計劃的影響力擴展至世界各地。今次大賽將與來自九個國家及城市的11間大學、五間當地商會和初創培育機構合作,多國大學校長及代表當日應邀來港出席典禮,並希望可通過城大的科研及初創生態圈,協助當地初創落地香港,甚至拓展至內地及整個亞洲市場。
- Posted June 20, 2025
- 0
-
港全速邁向AI大時代(林國誠)
生成式人工智能(Generative AI)已不再只是科技界的熱門話題,而是真正走進香港市民的日常生活。
- Posted June 20, 2025
- 0
-
巫筆|港AI批閱10萬篇作文
本地人工智能(AI)教育初創「巫筆」,日前在香港中文大學舉行「善假於物」教學研討會,探討生成式AI在中學中文寫作教育的應用。
- Posted June 20, 2025
- 0
-
噴射機械人|全球首款噴射機械人試飛
意大利技術研究院(IIT)經過兩年時間測試,周三(18日)試飛全球首款噴氣動力人形機械人iRonCub3,能夠在離地大約50厘米的高度起飛,並在飛行中保持平衡。
- Posted June 20, 2025
- 0
-
人類資訊保育|新網站收藏「前AI時代」資料
自從人工智能(AI)模型流行,由機器生成的內容在網上泛濫,包括文字、圖像及影片,甚至波及人類的原創作品。
- Posted June 20, 2025
- 0
-
Midjourney|推影片生成模型V1
迪士尼、環球影業等多間影視娛樂企業,上周聯手控告美國人工智能(AI)初創Midjourney,指其以AI生成多個版權角色的圖像屬侵權行為。
- Posted June 20, 2025
- 0
-
AI漂洗|人扮智能猖獗 訴訟不絕 誇大技術欺瞞 礙行業發展須規管
現今業務若不加上AI元素,好像便趕不上潮流,不過須留意「假AI」帶來「真」風險。
- Posted June 20, 2025
- 0