目录:
视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
最早提供漏洞赏金的高科技公司是网络浏览器制造商,其中的赏金是提供给在代码中发现漏洞的黑客。 Netscape于1995年开始运作,Mozilla于2004年采取了同样的行动。
目的是让黑客在漏洞被公开之前告诉风险公司有关漏洞的信息。 对于黑客和企业来说,这是双赢的。为什么当更多的雇佣黑客可以帮助提高安全性时,阻止坏人呢?
近年来,在诸如Google,Facebook,Yahoo和Microsoft之类的公司提供大量资金的情况下,漏洞搜寻已成为一项大生意。 此后,其他许多人(例如特斯拉,Yelp,Reddit,Square,1Password和Uber)都加入了聚会,但漏洞赏金并不仅限于科技公司。 金融,医疗保健和政府实体提供悬赏,因为他们迫切希望在下一次重大违规之前保持领先。
Bug赏金已经变得司空见惯,以至于存在像Bugcrowd和HackerOne这样的第三方经纪人,他们利用赏金将黑客连接起来。 正如HackerOne的《 2018年黑客报告》中所详述的那样,该公司仅在其网络中就向166, 000名黑客支付了超过2300万美元,这些黑客已修复了72, 000多个漏洞。 这是很多很好的工作-比真正的骇客要花的钱少得多,这可以使公司付出金钱和声誉。
该报告称,仅在HackerOne社区中的注册用户数量已激增了十倍。
当然,也有一些负面因素。 例如,出埃及记情报公司提供的赏金高于大公司。 然后,它向包含该错误信息的公司出售订阅。 这并不一定很糟糕-查找漏洞很重要。 但是,正如Sophos的Lisa Vaas指出的那样,“利用剥削经纪人的客户可能会站在好家伙的身边,例如,想要保护人们免受新发现漏洞的杀毒软件供应商,或者他们可能会冒犯他人,对使用未公开的信息感兴趣”攻击以系统本身为目标。”
下面,看看在漏洞赏金丰收领域中一些最大的支出。 如果您知道一些更大的奖励,请在评论中告诉我们。
宣誓/ Verizon媒体
在2018年4月,该组织以前称为Oath Inc.向HackerOne的实时黑客攻击H1-415事件的40名参与者支付了40万美元。 拥有Yahoo和AOL的Oath / Verizon Media后来在2018年11月的另一项活动中向黑客发现了159个关键安全漏洞,又捐款40万美元。
在这些漏洞赏金活动成功之后,该公司创建了一个合并的漏洞赏金计划,该计划在2018年向发现跨多个平台的各种威胁级别的漏洞的黑客和研究人员支付了500万美元。 ( 照片由Noam Galai / Getty Images为Verizon Media拍摄 )
微软
微软去年以200万美元的漏洞赏金获得了里程碑式的奖励,此后,微软停止发布除金额和案件严重性之外的有关个人赏金的信息。 但是,我们所认识到的最大的赏金奖励是瓦西里斯·帕帕斯(Vasilis Pappas),他在2012年获得哥伦比亚大学博士学位时就获得了20万美元。 Pappas提交了针对“返回式编程”问题的解决方案,黑客曾经使用它来避开安全控制措施,并创建了kBouncer,该程序可减轻任何看起来像ROP的问题。
谷歌
Google的漏洞奖励计划可以追溯到2010年。自那时以来,它已经支付了超过1500万美元,其中340万美元是在2018年颁发的(其中170万美元用于Android和Chrome中的错误)。 去年最大的一笔支出是向一位未指定的研究人员提供的41, 000美元赏金。 在公开的赏金中,来自乌拉圭的19岁的Ezequiel Pereira因在Google的Cloud Platform控制台中发现远程执行代码错误而获得了36, 000美元的奖励。
黑客百万富翁
好像Pereira的故事还不够,我们不得不提到另一个正在杀死Bug赏金游戏的19岁的南美人:阿根廷的Santiago Lopez,他是第一位在HackerOne平台上获得100万美元收入的人。 自学成才的黑客说,他是通过观看YouTube视频和自己阅读博客来开始的,但是,这会激发他对黑客的兴趣吗? 还有什么? 1995年电影 黑客 。 ( 照片由联合艺术家/盖蒂图片社 )
脸书
对于多年来经历了几次安全性漏洞检查的公司而言,Facebook渴望定位并解决其代码中的漏洞和漏洞利用不足为奇。 自2011年成立以来,该社交网络的错误赏金计划已支付了750万美元。Facebook之前的最高单笔支付记录是俄罗斯安全研究人员安德鲁·莱昂诺夫(Andrew Leonov),他因发现第三方安全软件中的安全漏洞而获得了40, 000美元的奖励。可能会影响Facebook本身。 这项新纪录的支出发生在去年,对一个人来说是50, 000美元。
美国国防部
在2016年的一个月中,奥巴马政府领导的国防部直言不讳地说道:“请五角大楼!” 250名黑客追踪了该机构系统中的错误,并发现了138个值得关闭的漏洞。 支付给黑客的总费用为15万美元,然后美国国防部长阿什顿·卡特(Ashton Carter)说,这比进行专业安全审核所需的费用少了约85万美元。
2018年,国防部将黑客马拉松扩大到由HackerOne托管的一系列新计划,该计划的目标是陆军,空军,海军陆战队和国防旅行系统拥有的政府系统。 他们将总计500, 000美元的奖金授予了在政府数据库和网站上发现约5, 000个独特漏洞的黑客。
联合航空:1百万英里
联合航空不会提供现金,但会给您免费里程。 其中很多。 去年,许多研究人员获得了飞行里数奖励,其中包括来自荷兰的19岁安全研究人员奥利维尔·贝格(Olivier Beg),他因在航空公司系统中发现约20种不同的错误而获得了100万英里的飞行里程。 ( 摄影:Nicolas Economou / NurPhoto via Getty Images )
