Blog


버그바운티 클럽이 전해드리는 이야기를 확인하세요.



[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2021년 12월

해킹 사건/사고는 비일비재하게 일어나고 있지만 11월에 관심을 끌었던 사고가 몇 개 있었습니다.하나는 우리나라 월패드 업계의 보안 수준을 여실히 보여주는 사건입니다. 기사를 접하신 분들은 짐작하셨을 것입니다. 바로 국내 아파트 월패드 해킹 사건입니다. 누구에게나 가장 프라이빗하고 평안한 공간이어야 하는 집이 무방비로 뚫려버려 우리나라 국민들이 졸지에 트루먼쇼의 주인공이 되어 버렸습니다. 국내 아파트 월패드 해킹 영상정부에서는 월패드 업계와 4년 전부터 망분리를 포함한 '지능형 홈네트워크 설비 설치 및 기술기준'의 개정을 시도해오고 있었던 모양이나 비용 증가를 이유로 월패드 업계는 이에 반발하면서 이도저도 못하고 있었던 상황이었나보네요. 홈 네트워크와 같은 사물인터넷(IoT)에는 보안이 매우 중요한 절대적 가치라는 사실을 그들도 매우 잘 알텐데 왜 꼭 사고가 터져야만 움직일까요? 진상을 더 조사해봐야겠지만 만일 해킹 사실이 진실이라면 본인들 잇속 챙기느라 지켜져야할 국민의 사생활을 내패대기 치고 해커의 손에 넘겨준 관련자들에 대해서는 엄중히 책임을 물어야 할텐데요. 정말 울화가 치밀어 오르네요. 전국 아파트 CCTV 해킹, 다크웹서 800만원에 팔린다'국내 월패드 해킹 아파트 명단' 떠돌아…알몸·성관계 모습 유출 우려아파트 사생활 영상 유출 논란…정부, 월패드 망분리 의무화 재추진골드스푼(금수저) 앱 해킹 사건도 있었습니다.한 20대 해커가 금수저들만 가입이 가능하다는 골드스푼 앱을 해킹하고 여성 회원의 정보를 유출한 사건이 있었습니다. 기사를 보기 전까진 이런 앱이 있다는 사실도 몰랐네요. 금수저가 아니니 당연히 모를 수밖에 없겠죠?골드스푼 가입 기준 (골드스푼 홈페이지 캡쳐)아무튼 해킹을 통해 빼낸 정보를 이용해 업체에 25억의 가상화폐를 요구한 해커... 모쪼록 죄값을 다 치르고 모든 기술은 선행에 사용할 때 비로소 그 가치가 빛을 발한다는 걸 깨닫고 반성하길 바랍니다. 그나저나 범행을 저지른 해커는 IT 개발자이고 골드스푼 앱에 회원으로 가입이 되어있었다고 하는데요. 개발자인 이 해커는 도대체 어떻게 골드스푼에 가입이 가능했을지 의문이었습니다. 네카라쿠배로 인해 요즘 개발자 연봉이 예전보다 나아졌다고 하는데 실력있는 개발자라 연봉을 많이 받는 걸까요? 아니면 부모님이 재력가였을까요? 아니면 가입마저도 해킹을 통해 한 걸까요? ‘상위 1% 데이팅앱’ 골드스푼 해킹한 IT 개발자 검거'금수저만 가입' 데이팅앱 회원정보 몰래 빼낸 해커의 반전 정체잠시 눈을 돌려 해외의 버그바운티 소식을 봅시다. 역시 안타까운 소식이 있었습니다. 마이크로소프트사가 버그바운티 포상금 액수를 줄인 것에 불만을 품은 한 버그헌터가 윈도우11, 윈도우10 등에서 발견된 제로데이 로컬 권한상승 취약점을 공개한 사실이 있었습니다. 마이크로소프트사의 이같은 결정은 많은 버그 헌터들 사이에 불만이라고 하네요. 그렇다고 제로데이 취약점 공개를 하다니... 흠.. 아무튼 구글이나 GitLab과 같은 회사가 점진적으로 버그바운티 포상금을 늘려가고 있는 사실과는 상당히 대조적입니다. New Windows zero-day with public exploit lets you become an admin2021년 12월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 3건Samsung TV App 관리를 위한 Seller Office 웹사이트제공 플랫폼: 해킹존기간: 2021년 11월 17일 - 2021년 12월 31일최대 현상금: 20,000,000원타겟 시스템 유형: 웹프로그램 URL: https://hackingzone.net/ProgramDetail/39수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3■ 기존 프로그램: 13건엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack
 2021-11-29 09:05 KST      1055