由台灣駭客協會所主辦HITCON2020活動，今年特別與經濟部工業局聯合舉行漏洞挖掘競賽(Bug Bounty Challenge)，本次競賽創下國內以廠商未上市物聯網產品為標的之創舉，借重資安社群白帽駭客技術能力與思維，挖掘出各種潛在的漏洞，在漏洞被犯罪份子利用之前，透過資安攻防場域進行滲透測試，檢視物聯網設備、應用系統之資訊安全等級和防護能力，以強化產品安全性，並提供選手實際練兵的機會，藉此培育產品漏洞檢測人才。

「2020 IDB X HITCON 漏洞挖掘競賽」行動支付組冠軍

本次競賽參與產品以行動支付與聯網設備(Router、IP Cam)為主，在各團隊挖掘出漏洞並向評審陳述漏洞發現手法後，由「H1dra Security Team」與「夜梟x鴿鴿x與牠們的飼料」分別奪得聯網設備組與行動支付組冠軍，各獲得新台幣5萬元獎金。由團隊挖掘出的漏洞，亦同時提供國內參與業者進行漏洞修補。

工研院王子夏博士表示，台灣常見的資安漏洞以無效的存取控管與跨網站指令碼(XSS)攻擊為大宗，所以先前漏洞挖掘競賽以網路攻擊為主。但有鑑於近來萬物皆可駭，愈來愈多聯網產品成為攻擊目標，所以主辦單位首次以設備端為標的進行漏洞挖掘競賽。本次競賽由廠商提供8項產品參與測試，經由選手的努力測試，共計找出60個漏洞，已通報企業進行修補。

對於這次競賽的團隊，HITCON CTF領隊暨CTF競賽負責人，同時也是評審之一的李倫銓表示：「這次參賽的團隊皆擁有厚實的技術實力，有許多令人眼睛為之一亮的論述與發現。這是台灣近年來培育資安人才的成果，彌足珍貴。但在籌備的過程中，我們也明顯感受到人才斷層的危機，缺乏具吸引力的獎勵機制、人口負成長等等，皆是必須積極面對的問題，才能讓之前累積的資安能量持續升溫。」

由於近年來金融科技(Fintech)的發展迅速，行動商務及電子支付提供較傳統支付更快速便捷。但如何兼顧便捷與交易安全，是電子支付產業所要面對的嚴肅課題。不論是資料安全、交易安全、或是行動裝置安全等面向，企業均須在便利與安全間權衡取捨，建立並維護完善的風險管理機制。隨著5G與物聯網的持續升溫，帶動資安威脅模式的演變，許多物聯網裝置可能直接利用網路，連線到伺服器，而繞過現有的層層防護，在無意間成為攻擊目標。

許多跨國企業為了讓產品及本身的服務更安全，透過漏洞回報獎勵計畫（Bug Bounty），希望藉由全球的白帽駭客一起協助，找出系統未知的漏洞或弱點，減少遭受駭客攻擊的機會。工研院提出的2020年資通訊安全全球發展趨勢中指出「白帽駭客協防」亦是其中重要的一環，可預見未來利用外部資源的漏洞舉報，減少網路犯罪與資料洩漏與盜竊的機會，已成為廠商強化產品安全的重要工作。

台灣駭客協會所屬的HITCON ZeroDay漏洞通報平台，提供資安專家通報組織漏洞，營運至今已協助全台數百家企業執行逾千件的漏洞通報與修復，有效降低產品發生資安風險的內部成本。

李倫銓表示：「打造台灣資安漏洞通報生態圈，必須先建立企業與社群通報者之間的互信機制。藉由透明暢通的管道，讓社群協助企業盡快修補不足，不僅能降低漏洞帶來的傷害，還能形塑企業『重視資安』的形象，讓社群樂於貢獻，是企業化危機為轉機，促成正向資安環境發展的契機。」