信息來源:Freebuf
截至 2020 年 5 月 底����,HackerOne平臺宣布,已經(jīng)向全世界的白帽子們支付了 1 億美元的賞金�。
該賞金是給予白帽子們發(fā)現(xiàn)并向組織報告了有效安全漏洞的獎勵,以便各公司和機構(gòu)可以更加安全地解決各項網(wǎng)絡問題�����。
《2020 黑客報告》表明:白帽子作為一種可行的職業(yè)概念已經(jīng)成為現(xiàn)實��,有 18%的人將自己描述為全職白帽子��,尋找網(wǎng)絡漏洞并為所有人提供更安全的互聯(lián)網(wǎng)系統(tǒng)�����。
該年度報告對漏洞賞金和漏洞披露生態(tài)系統(tǒng)進行了研究����,詳細的介紹了以 HackerOne為代表的黑客社區(qū)中的 170 個國家/地區(qū)的白帽子們的努力和動機:致力于在 HackerOne 平臺上保護多家公司和政府機構(gòu)。
HackerOne 首席執(zhí)行官馬爾滕·米科斯 (Makerten Mickos) 自豪地宣布:“自從開始向客戶提供漏洞報告以來�,HackerOne 漏洞賞金獵人已經(jīng)發(fā)現(xiàn)了約 17 萬個安全漏洞?�!?nbsp;
財報數(shù)據(jù)顯示�,HackerOne 支付給白帽子們的報酬總額不斷的上升,從 2013 年 10 月(HackerOne 開始支付賞金的第一個月)向全球白帽子支付的 30,000 美元到 2020 年 4 月向白帽子支付的 590 萬美元�����,這個創(chuàng)紀錄的里程碑展示了世界上最大的黑客社區(qū)是如何來填補我們互聯(lián)網(wǎng)社會日益增長的安全需求����。
另外,向 HackerOne 提交安全漏洞報告的白帽子中����,12% 的人每年僅通過漏洞獎勵就能獲得超過 2 萬美元的收入�,而 1% 的人每年能獲得價值超過 35 萬美元的獎勵�����,3% 的人每年能獲得超過 10 萬美元的獎勵�。
通過調(diào)查兩年前在 HackerOne 平臺上注冊的 1700 多名漏洞賞金獵人的報告顯示:在同一個國家���,頂尖白帽子的平均薪酬將是軟件工程師平均薪酬的 2. 7 倍����。
全球黑客社區(qū)高級總監(jiān)盧克·塔克(Luke Tucker)說:”白帽子是造福全球的力量��,他們共同努力確保我們互聯(lián)網(wǎng)社會的安全�,社區(qū)歡迎所有樂于接受知識和熱愛挑戰(zhàn)的人們,用創(chuàng)造性來克服局限性�。“
不斷增長的白帽子們用積極的力量匯集了防御數(shù)據(jù)泄露的能量���,減少了網(wǎng)絡犯罪����,保護了人們的隱私并恢復了我們對數(shù)字社會的信任��。
來看看這次邁向 1 億美元旅程的亮點:
84:即該平臺每小時簽署新白帽子的數(shù)量
$6000:平臺上每隔一小時支付的懸賞金額
214%:同期白帽子的增長比例
85.6 %:賞金總額的同比增長,尤其自 2 月份宣布 COVID-19 大流行以來�,賞金總額增長了 17.5%。
343%:在Hacker101 上過去一年申請人數(shù)的增加
38%:自 2 月份宣布 COVID-19 大流行以來��,在Hacker101上平均每周新注冊數(shù)的增加�����。
超過170,000:在近 2000 個客戶程序中發(fā)現(xiàn)的白帽子數(shù)量
馬爾滕·米科斯 (Makerten Mickos)說:“我們正在建立一個社區(qū)����,能夠測試和審查我們數(shù)字連接文明的每一個方面。1 億美元的數(shù)字吸引了最優(yōu)秀的白帽子���,為公司和政府大大降低了數(shù)據(jù)泄露的風險���。在這個不斷發(fā)展的新世界中,取得成功唯一的方法就是變得透明��,開放的擁抱白帽子們是通往前進的道路����。”
米科斯Mickos 還分享了對未來的預測:
白帽子將在五年內(nèi)通過 HackerOne 獲得 10 億美元的漏洞賞金�����。
預計未來 15 年內(nèi),將從我們的白帽子隊伍中培養(yǎng)出 500 多名首席信息安全官(CISO)����。
HackerOne 社區(qū)中將會產(chǎn)生更多杰出的安全專家,來填補該行業(yè)的人才缺口�,這些熟練且有進取心的人將會幫助商業(yè)企業(yè)和政府機構(gòu)減少網(wǎng)絡風險��。
每一分鐘�����,全球的白帽子都在和公司齊心協(xié)力來增強它們的安全性����。
精英白帽子 Frans Rosen 反映:“我最喜歡的是與人們互動,尤其是他們對漏洞的反應����。比如當我制作一個小游戲來顯示某公司漏洞的影響,該公司的 CISO 在深夜打電話給我來詳細了解漏洞的情況��,當我感受到他對漏洞的嚴重恐慌時����,會覺得自己的付出很有成就感����?�!?
企業(yè)一直在尋求增長:擴展新市場����,交付新產(chǎn)品和服務,增加新客戶���,發(fā)布移動產(chǎn)品�,采用新的付款方式�,增加 Web 資產(chǎn)等等。但每次產(chǎn)生新變化���,都會添加新的一層攻擊面�。
所以對于公司而言���,與最大最活躍的白帽子社區(qū)合作可以使他們以更有效的方式采取主動安全策略��。
同時對白帽子們而言���,通過與有合作意向的組織合作�,來作為該組織安全團隊的延伸�,比他們在自己國家擔任軟件工程師時的收入高出 36%。
很顯然�,這是一件雙贏的好事。
在我國也不例外�,今年4月份騰訊也與 HackerOne 達成合作,在 HackerOne 上注冊的安全測試人員中���,有超過 60 萬人可以加入騰訊的漏洞賞金計劃����,尋找該公司產(chǎn)品中的漏洞�����。
HackerOne 社區(qū)可以訪問由騰訊安全響應中心(TSRC)對外部托管的騰訊公共漏洞賞金計劃�。
騰訊將利用 HackerOne 的平臺進行賞金支付�����,所有獎勵金額都由騰訊(與白帽協(xié)商)決定�����。
HackerOne 上的安全研究人員可以根據(jù)騰訊的漏洞賞金支付信息頁面提示,通過 Coinbase 使用 Paypal��,Currency Cloud(銀行轉(zhuǎn)賬)和比特幣等各種支付方式進行支付���。除了賞金以外����,研究者還將獲得 HackerOne 信譽積分(每個報告+7 積分��,以及與漏洞嚴重性相關(guān)的其他積分)����。
據(jù)報道,對于符合騰訊產(chǎn)品的有效漏洞����,白帽子可以獲得最高達 15000 美元的獎勵。
騰訊安全響應首席運營官朱菊菊說:
“我們是中國第一家建立安全響應中心的公司�,現(xiàn)在已經(jīng)開放了所有產(chǎn)品和服務來進行漏洞查找計劃,希望可以獲得全球白帽子安全社區(qū)專家們的建設性研究成果���?!?
有興趣去發(fā)現(xiàn)騰訊產(chǎn)品漏洞的 白帽子們可去HackerOne查看《TSRC Bug 賞金計劃》的政策頁面。
