由台湾骇客协会所主办HITCON2020活动，今年特别与经济部工业局联合举行漏洞挖掘竞赛(Bug Bounty Challenge)，本次竞赛创下国内以厂商未上市物联网产品为标的之创举，借重资安社群白帽骇客技术能力与思维，挖掘出各种潜在的漏洞，在漏洞被犯罪份子利用之前，透过资安攻防场域进行渗透测试，检视物联网设备、应用系统之资讯安全等级和防护能力，以强化产品安全性，并提供选手实际练兵的机会，藉此培育产品漏洞检测人才。

「2020 IDB X HITCON 漏洞挖掘竞赛」行动支付组冠军

本次竞赛叁与产品以行动支付与联网设备(Router、IP Cam)为主，在各团队挖掘出漏洞并向评审陈述漏洞发现手法後，由「H1dra Security Team」与「夜枭x鸽鸽x与它们的饲料」分别夺得联网设备组与行动支付组冠军，各获得新台币5万元奖金。由团队挖掘出的漏洞，亦同时提供国内叁与业者进行漏洞修补。

工研院王子夏博士表示，台湾常见的资安漏洞以无效的存取控管与跨网站指令码(XSS)攻击为大宗，所以先前漏洞挖掘竞赛以网路攻击为主。但有监於近来万物皆可骇，愈来愈多联网产品成为攻击目标，所以主办单位首次以设备端为标的进行漏洞挖掘竞赛。本次竞赛由厂商提供8项产品叁与测试，经由选手的努力测试，共计找出60个漏洞，已通报企业进行修补。

对於这次竞赛的团队，HITCON CTF领队暨CTF竞赛负责人，同时也是评审之一的李伦铨表示：「这次叁赛的团队皆拥有厚实的技术实力，有许多令人眼睛为之一亮的论述与发现。这是台湾近年来培育资安人才的成果，弥足珍贵。但在筹备的过程中，我们也明显感受到人才断层的危机，缺乏具吸引力的奖励机制、人囗负成长等等，皆是必须积极面对的问题，才能让之前累积的资安能量持续升温。」

由於近年来金融科技(Fintech)的发展迅速，行动商务及电子支付提供较传统支付更快速便捷。但如何兼顾便捷与交易安全，是电子支付产业所要面对的严肃课题。不论是资料安全、交易安全、或是行动装置安全等面向，企业均须在便利与安全间权衡取舍，建立并维护完善的风险管理机制。随着5G与物联网的持续升温，带动资安威胁模式的演变，许多物联网装置可能直接利用网路，连线到伺服器，而绕过现有的层层防护，在无意间成为攻击目标。

许多跨国企业为了让产品及本身的服务更安全，透过漏洞回报奖励计画（Bug Bounty），希??藉由全球的白帽骇客一起协助，找出系统未知的漏洞或弱点，减少遭受骇客攻击的机会。工研院提出的2020年资通讯安全全球发展趋势中指出「白帽骇客协防」亦是其中重要的一环，可预见未来利用外部资源的漏洞举报，减少网路犯罪与资料泄漏与盗窃的机会，已成为厂商强化产品安全的重要工作。

台湾骇客协会所属的HITCON ZeroDay漏洞通报平台，提供资安专家通报组织漏洞，营运至今已协助全台数百家企业执行逾千件的漏洞通报与修复，有效降低产品发生资安风险的内部成本。

李伦铨表示：「打造台湾资安漏洞通报生态圈，必须先建立企业与社群通报者之间的互信机制。藉由透明畅通的管道，让社群协助企业尽快修补不足，不仅能降低漏洞带来的伤害，还能形塑企业『重视资安』的形象，让社群乐於贡献，是企业化危机为转机，促成正向资安环境发展的契机。」