TikTok ได้ประกาศเข้าร่วมโครงการ bug bounty ร่วมกับแพลตฟอร์ม HackerOne เพื่อเปิดโอกาสให้แฮ็กเกอร์และนักวิจัยด้านความปลอดภัยสามารถทำการให้ค้นหาช่องโหว่ในเว็บไซต์หลักซึ่งรวมถึงโดเมนย่อยต่างๆ และแอปพลิเคชันบน Android และ iOS

โดยช่องโหว่และข้อบกพร่องที่มีความรุนแรงสูง TikTok จะจ่ายให้กับผู้ค้นพบเป็นเงินรางวัลตั้งเเต่ 1,700 ถึง 6,900 ดอลลาร์(ประมาณ 53,074 ถึง 215,418 บาท) ทั้งนี้ช่องโหว่ที่มีความสำคัญและมีความรุนเเรงสูงผู้ค้นพบจะสามารถได้รับรางวัลสูงถึง 14,800 ดอลลาร์ (ประมาณ 461,959 บาท) ซึ่งจะพิจารณาจากคะแนนความรุนเเรง CVSS ของช่องโหว่

Luna Wu จากทีม TikTok Global Security ได้กล่าวว่าความร่วมมือในการหาช่องโหว่และข้อบกพร่องครั้งนี้จะช่วยให้ TikTok ได้รับข้อมูลเชิงลึกจากนักวิจัยด้านความปลอดภัยชั้นนำของโลก, นักวิชาการและผู้เชี่ยวชาญอิสระเพื่อเปิดเผยภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นได้ในแอปพลิเคชัน ซึ่งจะทำให้การป้องกันความปลอดภัยของ TikTok แข็งแกร่งยิ่งขึ้น

ที่มา: securityweek.

นักวิจัยด้านความปลอดภัย Riccardo "rpadovani" Padovani ได้เปิดเผยช่องโหว่ซึ่งเกิดจากการที่ GitLab ไม่ได้นำโค้ดในส่วนที่เป็น Elasticsearch Search API ออกในกระบวนการเปลี่ยนการตั้งค่าจากโครงการ public เป็นโครงการแบบ private ซึ่งส่งผลให้โค้ดในโครงการซึ่งเป็น private แล้วจะยังสามารถถูกค้นหาได้ผ่าน API นี้

หลังจากที่ Riccardo มีการแจ้งช่องโหว่ไปในเดือนพฤศจิกายน 2019 ทาง GitLab ได้มีการปล่อยรุ่น 12.5.4 ซึ่งมีการแก้ไขปัญหานี้แล้ว จากการค้นพบดังกล่าว Riccardo ได้เงินรางวัลจากช่องโหว่เป็นจำนวนเงินประมาณ 90,000 บาท ผ่านทางแพลตฟอร์ม HackerOne

ที่มา : Zdnet