首屆漏洞獵捕競賽 駭客找出20個漏洞

資安院27日公佈第一屆漏洞獵捕活動結果，11家廠商共找到20個漏洞。（Photo by 呂翔禾／臺灣醒報）

「臺灣駭客火力全開，共找到11家硬體廠商20個資安漏洞！」資安院舉辦「漏洞獵捕」活動，邀請駭客尋找廠商漏洞，供廠商未來精進資安所用，27日公佈測試結果，找到20個漏洞、其中9個較嚴重，但全部漏洞都已被修復。資安院院長林盈達透露，下一屆將允許駭客用AI工具，獎金也從720萬加碼到8百萬，對廠商的難度會更升級。

密碼太弱易遭破解

資安院去年12月到今年1月舉辦第一屆漏洞獵捕活動，邀請白帽駭客對產品進行資安測試。27日公佈比賽結果，11家國內硬體制造廠商（工業網通、網通與網路儲存伺服器NAS）、共發現了20個漏洞，且如果密碼強度太弱，或是有預設帳密的話，攻擊者可輕易取得初始存取權限，恐形成連鎖攻擊。

參與活動的179位紅隊研究員（白帽駭客）共有25位成功提交漏洞報告，透過研究員從實際攻擊者視角進行測試，使廠商得以在產品上市前即掌握潛在問題，將原本可能於上市後才暴露的風險提前處理。

下次比賽駭客可用AI

「駭客若找到漏洞會發給獎金，目前已發放53.9萬元！」資安院院長林盈達表示，原本預設獎金池是720萬，但只發出53.9萬，代表參賽廠商的產品本身資安水準就很好，且參與的藍隊（廠商）全部都希望參與後續計劃。紅隊也對活動表示肯定，並建議政府資訊揭露與評估標準愈明確，愈有助測試與漏洞發掘。

林盈達透露，第二屆漏洞獵捕活動預計將在9到10月舉行，且將更升級難度，邀請的廠商除了硬體業以外還有軟體業，且允許白帽駭客使用AI工具，還會導入政府採購的情境，獎金也從720萬提升到8百萬。

強化軟體資安能力

「駭客在第二屆活動有望獲得更多獎金！」林盈達分析，國內軟體業相對缺少國際競爭，且軟體可破解的點更多，因此活動對於廠商的挑戰會更大，但同時也希望透過比賽協助廠商改善產品、強化競爭力與政府資安防護能力，還有讓國內紅隊成員有更好的發揮空間。

【更多精采內容，詳見】