互聯(lián)網(wǎng)充斥著漏洞,這是不足為奇的事。從程序員開始寫代碼起,他們就必定會犯錯。而只要他們犯錯,犯罪分子、政府、黑客分子就都能對這些漏洞無所不用其極。
谷歌、Facebook、Dropbox、PayPal、微軟、雅虎,甚至電動車制造商特斯拉等科技公司如今都有一種懸賞機(jī)制,只要黑客發(fā)現(xiàn)他們產(chǎn)品存在的漏洞并報告給他們,這些公司就會向這些黑客提供獎金。
這是科技行業(yè)對黑客發(fā)現(xiàn)漏洞的標(biāo)準(zhǔn)回應(yīng)方式發(fā)生的重大轉(zhuǎn)變。
HackerOne作為漏洞獎勵平臺也吸引了很多需求方的關(guān)注,越來越多的企業(yè)和政府機(jī)構(gòu)開始加入到漏洞懸賞的陣營中。以下為HackerOne評選的2016年最具競爭力的漏洞懸賞項(xiàng)目,白帽黑客們趕緊看過來!
1. PornHub
今年5月,為了鼓勵人們提交網(wǎng)站安全漏洞,成人網(wǎng)站Pornhub攜手漏洞披露平臺HackerOne推出了一個“賞金除bug”項(xiàng)目,激發(fā)人們在第一時間匯報漏洞。
據(jù)悉,發(fā)現(xiàn)者只需在第一時間匯報漏洞并附上清晰的文字說明(遵照怎樣的步驟可重現(xiàn)bug)、屏幕截圖、概念驗(yàn)證代碼等,就可以獲得50美元至25000美元的獎勵。
目前PornHub已經(jīng)接收了311名黑客提交的報道,并感謝他們?yōu)橥诰蚵┒淳S護(hù)PornHub網(wǎng)站安全方面做出的努力。該項(xiàng)目懸賞的最高金額已經(jīng)達(dá)到20000美元,獲得者為今年7月份提交了一個遠(yuǎn)程執(zhí)行漏洞報告的研究員。目前,PornHub為漏洞披露項(xiàng)目懸賞的獎金總額已經(jīng)達(dá)到了150420美元。
2. LocalTapiola
大約8個月之前,芬蘭保險巨頭LocalTapiola推出自己的漏洞懸賞計(jì)劃,為黑客提供最具競爭力的懸賞平臺。
近日,一名安全研究人員因發(fā)現(xiàn)關(guān)鍵系統(tǒng)漏洞成功獲取18000美元。此外,該公司表示,任何黑客只要能夠找到嚴(yán)重的、項(xiàng)目規(guī)定范圍內(nèi)的漏洞,都有機(jī)會獲得50000美元的獎勵。
雖然該項(xiàng)目的最高金額尚未透露,但是當(dāng)LocalTapiola提高了獎賞額后,提交的漏洞報告數(shù)量也增長了50%。目前LocalTapiola共計(jì)接收了38份漏洞報告,并對40名黑客表達(dá)了感謝。
3. Twitter
早在2014年,Twitter 就與HackerOne 合作推出了漏洞賞金計(jì)劃,為每一個漏洞報告至少支付 140 美元,這些漏洞覆蓋 Twitter.com、ads.twitter、移動版 Twitter、TweetDeck、app.twitter 及其 iOS 和安卓應(yīng)用程序。而事實(shí)也證明,Twitter的漏洞懸賞項(xiàng)目確實(shí)是安全研究人員最青睞的項(xiàng)目之一。
超過365名黑客已經(jīng)成功提交了漏洞報告,解決了約549個安全問題。6個月前,一名黑客因發(fā)現(xiàn)嚴(yán)重的系統(tǒng)漏洞被成功授予15120美元獎勵。目前,Twitter通過HackerOne平臺共計(jì)支付了561980美元獎勵金。
4. Snapchat
Snapchat的漏洞懸賞計(jì)劃是兩年前推出的,也是一個相對成功的項(xiàng)目。截至目前共有125名安全研究人員成功提交漏洞報告,共計(jì)獲取金額超過70000美元。據(jù)悉,該項(xiàng)目的最低獎勵金額為100美元,但是最高金額在10000—15000美元之間。
5. Uber
今年5月,Uber正式推出自己的漏洞懸賞計(jì)劃,讓世界各地黑客在Uber系統(tǒng)中查找漏洞。小型漏洞賞金在數(shù)千美元,但重大的安全漏洞可以賺取高達(dá)10000美元。這項(xiàng)活動從5月1日開始,黑客將有90天的時間尋找Uber系統(tǒng)當(dāng)中的漏洞和錯誤,發(fā)現(xiàn)四個以上漏洞的黑客將額外獲得10%的獎金。
這次活動分為三個層次,如果能夠更改司機(jī)照片或者批量查找用戶通用唯一標(biāo)識符,就可以獲得3000美元獎金;如果找到顯著的漏洞,如丟失授權(quán)檢查,導(dǎo)致電子郵件地址、出生日期、姓名以及電話號碼等數(shù)據(jù)曝光,將獲得5000美元獎金;至于那些高危漏洞,如完全獲得用戶帳戶控制權(quán),或任何公開社會安全號碼、信用卡號碼、銀行賬戶號碼和駕駛執(zhí)照照片等個人資料的安全漏洞,黑客將可以獲取10000美元獎金。
截至目前,共有466名黑客提交漏洞報告并獲得感謝,最高金額為10000美元,平均賞金在759—1000美元之間。
6. Hack the Pentagon(黑掉五角大樓)
“Hack the Pentagon”是美國政府今年發(fā)起的計(jì)劃,旨在測試美國國防部對網(wǎng)絡(luò)攻擊的順應(yīng)力。項(xiàng)目于4月份正式啟動持續(xù)24天,共計(jì)發(fā)現(xiàn)138個漏洞,獎勵金額達(dá)70000美元。據(jù)悉,此次項(xiàng)目授予的最高獎勵金額為3500美元,平均金額為588美元。
總結(jié)
隨著漏洞懸賞計(jì)劃逐漸趨勢化,安全專家表示,此舉雖然有效,但未免顯得被動。他們認(rèn)為,要做這場貓抓老鼠的游戲中領(lǐng)先的唯一途徑是,鼓勵開發(fā)者在設(shè)計(jì)中結(jié)合安全編碼實(shí)踐。
Linux Foundation及其他組織指出:
“今時今日,漏洞懸賞計(jì)劃是一個不錯的亡羊補(bǔ)牢的方式。但長遠(yuǎn)來說,為保障整個互聯(lián)網(wǎng)的健全我們還需要更好地投資。開發(fā)者應(yīng)該專注于安全編碼技能,而非潛在里擔(dān)憂漏洞的出現(xiàn)。國家和組織總會有源源不斷的間諜工具,但如果你能讓安全防御更上一層樓,那么至少那些工具入侵的難度也會加大。”
科學(xué)技術(shù)的進(jìn)步永無止境,錯誤也不會消失。而且,對黑客來說,最好的事物莫過于錯誤,最重要的是我們能夠從錯誤有所學(xué)、有所得。