“捉虫”悬赏
■包括微软、特斯拉和谷歌、苹果在内的公司都引入了“捉虫”悬赏项目
■他们向能够找到其研发产品中软件漏洞的黑客支付漏洞奖金
■目前已经有专业公司搭建平台,供全球黑客找茬
本月早些时候,苹果公司宣布,他们将向能够找到其研发产品中软件漏洞的研究人员支付最高20万美元的漏洞奖金,从而加入了数百家为“捉虫”提供奖金的企业行列。
据美国媒体报道,这类悬赏项目最初由美国网景公司(Netscape)1995年发起,此后包括微软、特斯拉和谷歌在内的众多公司都引入了这种为“捉虫”悬赏项目。从2011年启动该类项目后,脸谱网迄今为止向黑客开出的奖金已经超过430万美元。
而在如此丰厚奖励的驱使下,一个新的行业正在美国硅谷兴起:Bug赏金猎人。这一市场的潜力巨大,近期一项报告显示,福布斯排行榜上前2000名榜单上,94%的企业还没有提供过漏洞悬赏。
专业公司
提供漏洞奖励平台 连接企业和黑客
设立在旧金山的HackOne公司,就是这样一家应运而生的寻找漏洞奖励的公司。该公司首席技术执行官艾利克斯·赖斯称,“每个人都快速创建了科技公司,后来突然发现,他们从最开始就没有做好安全防护工作。”
问题在于,从玩具到真空吸尘器,甚至到政府记录,都可以被黑客入侵和攻击。“它们配备有摄像头,它们可以连接互联网。”赖斯说道。
HackOne和旧金山另外一家叫做Bugcrowd的公司,都是通过提供漏洞奖励平台,将企业和黑客连接到一起的案例。“这种操作方式已经改变原来那种模式,‘我不想要任何反馈,也不想黑客入侵’,而是我们认为这是一种健康有益的事。”Bugcrowd的运营副总裁乔纳森·克兰说道。
专业黑客
闲暇时间“捉虫” 有人赚了3万美元
来自全世界的黑客们会将漏洞信息上传给HackOne和Bugcrowd。两家公司表示,提交漏洞信息最多的还是来自于美国,但他们的赏金却发给了超过100多个国家和地区的黑客。有些漏洞赏金项目是公开的,任何想参与秀技的人都可以尝试,然而有些是保密项目,只有经验丰富的黑客才会被邀请,比如尝试挑战一个公司的安全性能。
贾斯汀·肯尼迪是其中一名黑客。和许多其他熟练的黑客一样,他有全职工作,但作为自己的爱好之一,他能从赏金项目中获得不少外快。他是波士顿一家叫做NTT安全公司的主任。他说,在过去两年时间里,在闲暇时间里利用自己的技能他曾赚到过大约2.5万至3万美元的漏洞奖金。他的赏金主要来自基于网络的一些软件和许多公司的消费者安全系统等。
甚至连美国联邦政府都在摩拳擦掌,实施漏洞赏金项目。五角大楼最近便邀请了不少黑客测试国防部网站的部分内容。在该项目于6月份结束后,国防部数字服务中心的官方黑客丽萨·维斯维尔在一个博客上写道,共有1410名黑客参与了这项挑战。他们共上交了1189份报告,只有138份合格并被发放赏金。117人收到从100美元到1.5万美元不等的赏金。
诞/生/背/景
我们生活在一个处处有漏洞的世界
漏洞悬赏奖励业务的节节上涨,得益于几起震惊行业的黑客入侵事件。去年,儿童玩具制造商VTech称其遭遇安全漏洞,有人入侵数百万份记录家长和孩子信息的资料。另外两名安全研究人员,则于去年演示了一场复杂的入侵行动,显示他们如何通过远程操纵毁掉一辆在高速路上行驶的吉普车。此外,还有酒店遭遇大规模顾客信用卡支付数据被黑的事件等。这充分说明,大家目前生活在一个几乎所有依赖的日常工具,都可以被黑客入侵和攻击的世界里。
(综合新华网、法制晚报)