【セキュリティ】「我々のサイトをハッキングしたら1万ドル」コンテスト開催中 成功者も(2009/06/05)

　われわれのサイトをハッキングできたら1万ドル――。音声ベースの認証ソフト・プロバイダーである
米国Telesignは、同社がセキュリティ機能を提供しているStrongWebmail.comのサイトに侵入できた
ハッカーに、1万ドルの賞金を贈呈するというハッキング・コンテストを行っている。

　 6月4日には、早くも侵入に成功したと主張するセキュリティ研究者のグループが現れた。米国
Secure Scienceの主任研究者ランス・ジェームズ（Lance James）氏が率いるグループは、
StrongWebmailのCEO、ダレン・バーコビッツ（Darren Berkovitz）氏のWebメール・アカウントに侵入し、
バーコビッツ氏のカレンダーから詳細な情報を引き出すことに成功したという。

　IDG News Serviceがジェームズ氏からの連絡を受け、バーコビッツ氏のアカウントから入手したと
される情報をバーコビッツ氏に見せたところ、同氏は自分のアカウントから引き出されたものである
ことを認めた。

　ただし、バーコビッツ氏は、ジェームズ氏らのグループがコンテストに勝利したとは（現時点では）
認めていない。「コンテストのルールを順守しているかどうかを確認する必要がある。もっとも侵入に
成功していたとすれば、われわれにとっては非常に残念な結果と言わざるを得ない」（バーコビッツ氏）

　コンテストのルールでは、攻撃方法を公表してはならないことになっている。ちなみにジェームズ氏の
グループは、IDG News Serviceが設定したテスト用のStrongWebmailアカウントに侵入することにも
成功している。ジェームズ氏は攻撃方法の詳細は明らかにしなかったものの、「Windows XP上で
稼働しているFirefoxでアドオンの『NoScript』を無効化にしたところ、侵入に成功した」と語った。

http://www.computerworld.jp/topics/vs/149233.html

とんだ提灯記事だ。

はいはい攻勢防壁

そういや、ASUSが「BIOSクラッシュ大会」とかやって、いきなり壊されてたな。

セキュリティに自信ありそうなサイトでもこうなるんだね

この手のコンテストは難癖を付けて賞金を払わないのが常態化してるからな