黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而，若擁有技術而又想要合法且正當地獲取收入，其實可以通過正規途經，例如參加漏洞獎勵計畫（Bug Bounty Programs）。利用自己的專長幫助企業強化其網絡安全防護，不僅為網絡安全做出貢獻，還能夠獲得不錯的回報。 漏洞獎勵計畫，是由漏洞回報平台邀請廠商提交自己的產品作測試，並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言，參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。 想睇更多專家見解？立即免費訂閱！ 在 HackerOne 的新聞稿中，提到六名安全研究人員憑藉發現並報告安全漏洞，成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭，對嚴重漏洞的單個賞金獎勵高達 150 萬美元，其中 Google 就透過其漏洞獎勵計畫（VRP），向全球安全研究人員支付了近…

網絡安全賞金獵人平台 HackerOne 有好消息宣布，旗下其中一位賞金獵人 Cosmin Lordache 所獲得的總賞金衝破 200 萬美元，成為平台排名第一的獵人。最令人振奮的是距離他突破 100 萬美元關卡，僅僅用了 334 日！錢途無限呀！ HackerOne 是一個雲集道德黑客 (ethical hacker) 的集團，專門發掘高科技公司的安全漏洞，而與平台合作的政府機構及高科技企業已達過千間。只要旗下黑客發現到這些企業的安全漏洞，一經核實，機構或企業就會按約定派出賞金，而 HackerOne 旗下的賞金獵人 (Bug…

「Hacker 不一定要穿 hoodie，不一定在漆黑中、電腦前不停打 code 的。」卡片上職位是 Senior Associate，其實就是 Ethical Hacker，Monie Sum 專程化個靚妝再襯條裙來做訪問，希望一洗大眾印象，包括自己親朋。「我也解釋了很多次，但總有家人及朋友不太明白甚麼是 Ethical Hacker。」大眾聽見「黑客／Hacker」聞風喪膽，而其實呢，Ethical Hacker 是專業人仕，PwC 就有幾十個，可以在中環 Big Four 會計師樓返工，團隊三份一是女生，更率先享受「靈活工作」計劃，彈性工作時間、衣著、地點，加上市場求才若渴，絕對是職場新貴。 「成黑之路」從「多手」開始…

網絡安全公司 ESET 早前揭露，一間身份未被公開的全球性證券交易所遭受針對性網絡間諜攻擊，專家指幕後黑手是與中國有關聯的黑客組織「Budworm」(又稱「APT27」)。這班黑客不單入侵系統，更幾乎偷盡受害者所有機密電郵，細膩手法令人難以防犯。 想知最新科技新聞？立即免費訂閱！ 惡意程式改頭換面 據 ESET 研究人員分析，黑客首先以不明手段取得目標電腦系統的最高管理員權限後，隨即展開一連串偽裝工程。他們將惡意程式改頭換面，假冒成用家每日都會接觸到的正常檔案，例如 Adobe 閱讀器更新程式、OneDrive 安裝助理等，再將這些「臥底程式」藏進正常的系統資料夾，令網絡安全系統不會對這類連線起疑。更絕的是黑客為這些假程式設定了每 5 分鐘自動執行一次的排程，確保即使個別程式被意外終止，幾分鐘後又會再被執行。 站穩陣腳後，黑客著手建立數據外洩渠道，他們一開始的選擇是 Dropbox。透過這個人畜無害的雲端服務，黑客暗中將受害者電腦內的數據源源不絕地上傳至自己控制的帳戶。由於 Dropbox 流量在大多數企業網絡中屬於正常通訊，整個偷竊過程在防禦系統眼中，跟員工儲存工作文件毫無分別。 研究人員續指出，這次攻擊最具破壞力的環節是系統性竊取電郵的手法。黑客設置了一個偽裝成「Lenovo 系統健康檢查」的排程任務，每 5…

以為啟動了多重因素認證（MFA）就足以保護員工帳戶安全？Microsoft 最新發表的安全報告就詳細揭露了一場針對全球超過 35,000 名用戶的大規模憑證竊取活動。研究員指黑客除了運用了多種技巧避過電郵安全工具的檢測，更擅於在精神層面向受害者施壓，導致不少企業員工中招，拱手送出帳戶登入 Token，黑客就毋須再想辦法攞 MFA 驗證碼，徹底攻破這項驗證技術。 想知最新科技新聞？立即免費訂閱！ 黑客鎖定目標極具針對性 根據微軟調查顯示，這場跨國釣魚行動主要發生在今年 4 月 14 至 16 日，雖然 92% 目標來自美國，但仍有 25 個國家、13,000…

為了加強保護記者、人權活動家及政要等高風險用家，Meta 宣佈將為 WhatsApp 引入一項名為「Strict Account Settings」（嚴格帳戶設定）的全新防禦機制。雖然與 Apple iOS 的 Lockdown Mode 及 Android 的 Advanced Protection 一樣，需要犧牲部分便利性，但就換來更安全的防護！ 同時，Meta 亦披露會大規模採用 Rust…

日防夜防，家賊難防！即使是全球知名的網絡安全公司都難以完全避免內部威脅。美國網絡安全公司 CrowdStrike 近日披露了一宗內部人員洩密事件，內奸將公司的機密資料以拍攝螢幕的方法傳送給黑客組織。幸而事件未直接導致系統被入侵及洩露客戶的數據，但亦突顯出網絡安全不單要對外，亦要加強內部把關的重要性，是企業管理層不可忽視的安全問題。 想知最新行內動態？立即免費訂閱！ 立即終止該員工職務 根據 CrowdStrike 發言人的說法，公司早前發現有員工將電腦屏幕的內容拍下並外傳，已立即終止該員工的職務。這些圖片隨後被黑客組織發佈至 Telegram，儘管 CrowdStrike 強調其系統未因該事件遭到破壞，且客戶數據始終受到保護，但事件依然引發外界對內部安全的關注。 這次內部洩密案的幕後黑手，是近期頻頻登上網絡安全新聞的黑客組織 Scattered Lapsus$ Hunters，這個組織由 ShinyHunters、Scattered Spider、Lapsus$ 組合而成。他們曾針對 Salesforce 客戶發動語音釣魚攻擊，入侵了包括…

中國國家安全部早前公開指控，美國國家安全局（NSA）自 2022 年 3 月 25 日開始，對中國科學院國家授時中心（NTSC）展開長期且具「預謀性」的網絡入侵活動，聲明在微信平台發布，當局聲稱已掌握牢不可破的入侵證據，強烈批評美方才是黑客帝國及網絡空間的最大混亂製造者，在稀土貿易之爭上再開新戰線。 想知最新科技新聞？立即免費訂閱！ 系統遭破壞可導致通訊網絡故障 位於西安的國家授時中心自 1966 年起隸屬中國科學院，授時中心的核心功能是通過原子鐘等高精度設備生成標準時間，並透過多種技術將其傳播至全國，以確保通訊、交通、金融等關鍵領域能夠同步運行，例如大家日常使用的電腦或手機在自動校正時間時，背後便可能依賴授時中心的服務。一旦系統遭到破壞，後果可能不僅是時間上的錯亂，還可能導致通訊網絡故障、金融體系停頓、交通癱瘓，甚至影響國家能源供應與航天計劃。 針對這次指控的入侵事故，國安部披露了多條疑似滲透手法及攻擊的時間線。起初，入侵者疑似利用某國際品牌短訊服務的安全缺陷，偷偷入侵多名授時中心員工的行動裝置，進而竊取關鍵憑證與敏感資料；之後入侵者多次利用竊取的登入資訊登入內部網絡潛伏，在 2023 年 8 月至 2024 年 6…

網絡安全及應用交付方案供應商 F5，遭疑似中國國家級黑客入侵，攻擊者長期潛伏於系統內，並成功盜取包括 BIG‑IP 旗艦平台源代碼，以及未公開漏洞資料等敏感文件。 想知最新科技新聞？立即免費訂閱！ 暫未有未公開漏洞被利用 F5 在提交予美國證券交易委員會（SEC）的報告中透露，黑客於部分與產品開發相關的系統中，持續存在一段時間。公司表示，目前未發現被竊取的漏洞屬於可被遠程利用或屬高危級別，亦未見任何未公開漏洞正被利用的跡象。 F5 強調，調查暫時顯示黑客並無改動源代碼、編譯或發布流程；旗下 NGINX 產品開發環境、F5 Distributed Cloud Services 及 Silverline 系統亦未被入侵。同時，黑客未有接觸到客戶關係管理（CRM）、財務、iHealth 或技術支援個案管理系統的數據。 不過，受影響的工程知識平台中，有部分檔案包含少量客戶的設定及實施資料。F5…

近年黑客針對雲端基礎設施的攻擊日益頻繁，好似早前一場瞄準 Amazon Simple Email Service（SES）的高階網絡攻擊，黑客濫用了相關平台用戶被外洩的帳戶訪問金鑰，透過複雜的操作，成功將帳戶權限提升至每日可發送五萬封電郵，從而提升釣魚攻擊和金融詐騙的成功率。 想知最新科技新聞？立即免費訂閱！ 黑客突破發送 200 封電郵限制 SES 是 AWS 提供的雲端電郵服務，用戶可以透過平台大規模發送電郵，廣泛應用於營銷電郵、推送通知及發送交易憑證等場景。SES 以高效能、彈性及穩定性聞名，受到企業廣泛使用，可直接將電郵寄送到收件人的電郵信箱，不會輕易被視為垃圾電郵或被電郵安全工具攔截，這優勢亦成為黑客攻擊的目標。 不過，SES 設有沙盒模式（Sandbox Mode），普通用戶每天只能發送 200 封電郵，但黑客通過一系列手段成功繞過此限制，將 SES…