内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体


主页 > 漏洞信息 > 正文

赚了3.6万美金只因一个漏洞,靠“挖洞”真的能致富吗?

2021-01-13 出处:衡阳网络安全资源网 人气:991 评论(332

文/东方亦落

据CNBC消息,谷歌刚刚给了17岁的乌拉圭青年Ezequiel Pereira 3.6万美元,因为他报告了一个安全漏洞,促使谷歌内部系统改变。这已经是Pereira第五次发现谷歌系统漏洞了,不过此次的奖金是迄今为止最高的一次。

近年来,谷歌一直都在寻找漏洞提升安全性能方面下功夫。谷歌鼓励安全研究人员测试其系统,无论是谁,只要发现谷歌服务器或客户端中潜在的严重漏洞,都可获得赏金。去年,谷歌给274名研究人员发放了共计290万美元的奖金,其中最高奖金数额达到112500美元。

早在2015年,谷歌便启动了Android安全奖计划。2016年收到“猎人”们提交的合格漏洞报告超过450份,每个“猎人”的报酬平均提升52.3%。此外,安卓安全奖的总支出也增加至110万美元。

在2017年,谷歌为115 名“猎人”发放了奖金,平均每笔奖金为2150美元,每名“猎人”获得奖金 10209 美元,31名“猎人”的奖金不少于10000美元。

除了谷歌之外,还有一些公司也陆续开启“漏洞赏金”模式。

去年3月,知名iOS密码管理应用1Password 的开发商Agilebits宣布会为漏洞支付10 万美元。这比其之前的2.5万美元赏金提高了3倍,体现其对漏洞的重视程度。

微软在去年对漏洞奖励计划范围进行了扩张,漏洞悬赏计划赏金上限增加到了25万美元,具体金额取决于漏洞的复杂程度。如果安全研究人员发现了已被微软内部员工发现的漏洞,第一个发现者可以得到这个漏洞赏金的10%。

全球最大的游戏平台Steam被黑客作为攻击对象,一些玩家担心自己的个人隐私被泄露。因此Steam平台的公司V社发布了“漏洞赏金”计划,发现平台中漏洞的网友将根据问题的严重程度换取不同数额的奖金。

“漏洞奖金”这种模式,总体来说是非常不错的。谷歌、微软这样的公司对于漏洞价值的理解在全球范围内都是超前的。现在,承认漏洞的价值并以实际的金钱作为回报已经成为越来越多公司的共识。虽然目前的价格水平参差不齐,但未来漏洞的回报一定会与其价值相契合。

客观上,漏洞悬赏的模式促进了网络安全。如果说漏洞发现者将漏洞卖给不法分子,其实能够得到更多的利益,但将其提交给厂商,可以说是非常良心的做法了。未来,这种漏洞悬赏模式将会逐渐普及,为网络安全提供更加坚固的保障。

分享给小伙伴们:

相关文章