互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。
谷歌、Facebook、Dropbox、PayPal、微软、雅虎,甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制,只要黑客发现他们产品存在的漏洞并报告给他们,这些公司就会向这些黑客提供奖金。
这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。
HackerOne作为漏洞奖励平台也吸引了很多需求方的关注,越来越多的企业和政府机构开始加入到漏洞悬赏的阵营中。以下为HackerOne评选的2016年最具竞争力的漏洞悬赏项目,白帽黑客们赶紧看过来!
1. PornHub今年5月,为了鼓励人们提交网站安全漏洞,成人网站Pornhub携手漏洞披露平台HackerOne推出了一个 “赏金除bug” 项目,激发人们在第一时间汇报漏洞。
据悉,发现者只需在第一时间汇报漏洞并附上清晰的文字说明(遵照怎样的步骤可重现bug)、屏幕截图、概念验证代码等,就可以获得50美元至25000美元的奖励。
目前PornHub已经接收了311名黑客提交的报道,并感谢他们为挖掘漏洞维护PornHub网站安全方面做出的努力。该项目悬赏的最高金额已经达到20000美元,获得者为今年7月份提交了一个远程执行漏洞报告的研究员。目前,PornHub为漏洞披露项目悬赏的奖金总额已经达到了150420美元。
2. LocalTapiola大约8个月之前,芬兰保险巨头LocalTapiola推出自己的 漏洞悬赏计划 ,为黑客提供最具竞争力的悬赏平台。
近日,一名安全研究人员因发现关键系统漏洞成功获取18000美元。此外,该公司表示,任何黑客只要能够找到严重的、项目规定范围内的漏洞,都有机会获得50000美元的奖励。
虽然该项目的最高金额尚未透露,但是当LocalTapiola提高了奖赏额后,提交的漏洞报告数量也增长了50%。目前LocalTapiola共计接收了38份漏洞报告,并对40名黑客表达了感谢。
3. Twitter早在2014年,Twitter 就与HackerOne 合作推出了 漏洞赏金计划 ,为每一个漏洞报告至少支付 140 美元,这些漏洞覆盖 Twitter.com、ads.twitter、移动版 Twitter、TweetDeck、app.twitter 及其 iOS 和安卓应用程序。而事实也证明,Twitter的漏洞悬赏项目确实是安全研究人员最青睐的项目之一。
超过365名黑客已经成功提交了漏洞报告,解决了约549个安全问题。6个月前,一名黑客因发现严重的系统漏洞被成功授予15120美元奖励。目前,Twitter通过HackerOne平台共计支付了561980美元奖励金。
4. SnapchatSnapchat的 漏洞悬赏计划 是两年前推出的,也是一个相对成功的项目。截至目前共有125名安全研究人员成功提交漏洞报告,共计获取金额超过70000美元。据悉,该项目的最低奖励金额为100美元,但是最高金额在10000―15000美元之间。
5. Uber今年5月,Uber正式推出自己的 漏洞悬赏计划 ,让世界各地黑客在Uber系统中查找漏洞。小型漏洞赏金在数千美元,但重大的安全漏洞可以赚取高达10000美元。这项活动从5月1日开始,黑客将有90天的时间寻找Uber系统当中的漏洞和错误,发现四个以上漏洞的黑客将额外获得10%的奖金。
这次活动分为三个层次,如果能够更改司机照片或者批量查找用户通用唯一标识符,就可以获得3000美元奖金;如果找到显著的漏洞,如丢失授权检查,导致电子邮件地址、出生日期、姓名以及电话号码等数据曝光,将获得5000美元奖金;至于那些高危漏洞,如完全获得用户帐户控制权,或任何公开社会安全号码、信用卡号码、银行账户号码和驾驶执照照片等个人资料的安全漏洞,黑客将可以获取10000美元奖金。
截至目前,共有466名黑客提交漏洞报告并获得感谢,最高金额为10000美元,平均赏金在759―1000美元之间。
6. Hack the Pentagon(黑掉五角大楼)“Hack the Pentagon” 是美国政府今年发起的计划,旨在测试美国国防部对网络攻击的顺应力。项目于4月份正式启动持续24天,共计发现138个漏洞,奖励金额达70000美元。据悉,此次项目授予的最高奖励金额为3500美元,平均金额为588美元。
总结随着漏洞悬赏计划逐渐趋势化,安全专家表示,此举虽然有效,但未免显得被动。他们认为,要做这场猫抓老鼠的游戏中领先的唯一途径是,鼓励开发者在设计中结合安全编码实践。
linuxFoundation及其他组织指出:
“今时今日,漏洞悬赏计划是一个不错的亡羊补牢的方式。但长远来说,为保障整个互联网的健全我们还需要更好地投资。开发者应该专注于安全编码技能,而非潜在里担忧漏洞的出现。国家和组织总会有源源不断的间谍工具,但如果你能让安全防御更上一层楼,那么至少那些工具入侵的难度也会加大。”
科学技术的进步永无止境,错误也不会消失。而且,对黑客来说,最好的事物莫过于错误,最重要的是我们能够从错误有所学、有所得。
* 参考来源: ZDNet ,米雪儿编译,转载请注明来自CodeSec.Net