HackerOne 上匯聚了大約 1500 名黑客。他們已經修復了大約 9000 個漏洞,共收到 300 多萬美元賞金。
舊金山電 – 2011 年,兩個 20 歲出頭的荷蘭黑客列了 100 家他們打算黑掉的高科技公司。不久之后,他們就發現了 Facebook、Google、蘋果、微軟、Twitter 以及其他 95 家公司系統上的安全漏洞。
他們把自己這個清單叫做 Hack 100。
當他們就此警告這些公司的高管時,有三分之一的人選擇了忽略警告,另有三分之一的人簡單地感謝了他們,但從來沒有去修復漏洞,剩下的則趕著去把漏洞給修復了。由于心懷對兩位黑客的感激,沒有人去報警。
現在,這兩位黑客——Michiel Prins 和 Jobert Abma——成為了一家舊金山初創企業的四位創始人之一,這家公司致力于為那些有網絡安全問題的企業和像他們一樣的黑客之間的橋梁,這些黑客是來解決系統安全問題的,而不是來搞破壞的。他們希望這家叫HackerOne 的公司能說服其他黑客負責任地報告安全漏洞,而不是利用它們,公司會讓這些“白帽黑客”和那些愿意為他們發現的漏洞支付賞金的公司對接起來。
去年,這家創業公司已經說服了包括雅虎、Square 和 Twitter 在內的知名科技公司,以及一些你可能永遠想不到的公司(比如銀行和石油公司)應用他們的服務。他們已經向風投資本家們證明,現在支持網絡運行的設備有幾十億臺,存在缺陷在所難免,因此HackerOne 的服務有可能會非常賺錢。對于每一筆通過 HackerOne 支付的賞金,HackerOne 平臺會抽取 20% 的傭金。
“所有公司都會使用這項服務,”為 HackerOne 投資了 900 萬美元的 Benchmark 公司合伙人 Bill Gurley 說。“不用它是很愚蠢的。”
這種變相的“漏洞發現獎勵計劃(moderated bug bounty programs)”采取的是現在流行的反向刺激模式(moderated bug bounty programs)。根據企業系統漏洞的嚴重程度,發現漏洞的黑客可以通過把漏洞信息賣給罪犯或者政府拿到數十萬美元的回報,而這些漏洞則被保存在了網絡武器庫里,往往永遠都得不到修復。而如果黑客把漏洞報告給企業、讓企業去修復這些漏洞,他們則常常被忽視,或者受到要被投進監獄的威脅。
大體上講,有能力修復互聯網安全問題的人更有理由把互聯網的漏洞留在那里,任由其受到攻擊。
“我們想讓這件事情變得容易,以后那些有能力的黑客能收到回報,從而讓他們有一個受保護的、可靠的職業,”HackerOne 的首席政策官 Katie Moussouris 說。漏洞發現獎勵計劃是他首先在微軟實行起來的。“現在,我們是保持中立的。”
Prins,Abma 和住在硅谷的荷蘭企業家 MerijnTerheggen 一起創辦了 HackerOne。在他們建立起 Hack 100 清單,并發郵件警告 Facebook 的首席執行官 Sheryl Sandberg 說網站存在一個漏洞的過程中,他們遇到了公司的第四位聯合創始人。Sandberg 不只感謝了他們,而且把他們的信打出來交給了 Facebook 當時的產品安全主管 Alex Rice,讓他修復漏洞。Rice 請了這幾位黑客共進午餐,并和他們一起解決了那個問題,然后支付了4000 美元的賞金。一年后,Rice 加入了 HackerOne。
左起分別是 HackerOne 的創始人 Michiel Prins、Jobert Abma、Alex Rice、Merijn Terheggen,以及公司的一位投資人 Bill Gurley。
“所有技術都有漏洞,如果你沒有一個公開的渠道讓負責任的黑客報告這些漏洞,那你就會在通過黑市發起的網絡攻擊中和他們照面,”Rice 說。“而這是不可接受的。”
眾所周知,網絡罪犯們一直都在掃描企業系統的薄弱之處,以及那些正在收集這些漏洞的政府機構。網絡罪犯會利用空調服務中的此類漏洞,侵入目標企業的支付系統。而這些漏洞對政府的監護行為來說非常致命,而且會成為像 Stuxnet 工業蠕蟲病毒這樣的互聯網武器的關鍵部分。Stuxnet 是美國和以色列聯合開發的一種電腦蠕蟲病毒,它利用了數個漏洞,發現并破壞了一家伊朗核設施的鈾離心機。
政府網絡武器庫的漏洞是如此關鍵,以至于一家美國政府機構向一名黑客支付了 100 萬美元,就為了獲得一個蘋果 iOS 操作系統中的漏洞信息。蘋果公司在知曉并修復這個漏洞之后,可能不會給他一分錢,而另一家公司可能已經報警了。
漏洞發現獎勵是為了推動黑客修復漏洞,并回報那些永遠不泄漏漏洞的黑客——而這也正是 HackerOne 想要改變的地方。
5 年前,當 Google 開始向黑客支付 3133.7 美元來購買漏洞信息之后,科技公司開始回報黑客(31337 是黑客界表示“精英”的行話)。自那以后,Google 支付的最高單筆獎勵高達15 萬美元,支付給黑客的總獎金也已經超過了 400 萬美元。Rice 和 Moussouris 則在Facebook 和微軟分別嘗試了漏洞發現獎勵計劃。
其他人則發現,只是簡單地給黑客榮譽上的獎勵,或者給他們送一些小玩意兒,已經沒有用了。雅虎的安全主管 Ramses Martinez 說,在兩個黑客批評雅虎公司拿 T 恤換 4 個價值數千美元的漏洞以后,他在 2013 年啟動了雅虎的漏洞發現獎勵計劃。現在 Martinez說,他認為漏洞獎勵是件“不用動腦筋的事”。
“既然那么大、那么知名的公司都采用了這種方式,那么關于這種計劃的許多擔憂也就被打消了,”他說。
但大部分公司還是不會為黑客的發現付錢,其中就包括了蘋果公司——今年到現在,它已經出現了大約 100 個安全漏洞,一些漏洞非常嚴重,可以讓攻擊者劫持用戶的密碼。當然,蘋果公司一個漏洞的市價已經高達 50 萬美元,這相當于微軟支付給黑客的所有的獎金,所以蘋果公司的獎金要想趕上市場價格,那得非常非常高才行。
“許多公司都有黑客,它們只是不知道而已,”HackerOne 的首席執行官 Terheggen 說,“壞人就在那兒,除非你邀請,否則好人是不會現身的。”
HackerOne 是個 18 歲的黑客,他說,13 歲的時候,他在好奇心的驅使下開始入侵PayPal 和 Facebook 這樣的服務。他在 PayPal 發現了 10 個漏洞,在 Facebook 發現了一個漏洞,這些漏洞讓他掙到了將近 5000 美元。他一直堅持尋找漏洞,并且已經在HackerOne 上發現了 26 家公司系統存在的漏洞,光賞金就賺了 4 萬多美元。
他也知道自己還有別的選擇。一個政府的中間人曾經提議為 Wordpress 博客平臺中的一個簡單漏洞付給他 3000 美元,并說更嚴重的漏洞給的錢更多。但他拒絕了。“你不知道他們會如何利用這個漏洞,或者都有誰會利用它,”Beg 說。他還說,中間人想讓黑客永遠不要告訴別人他們發現的漏洞,這其實是減少了發現漏洞這個過程中的一部分樂趣。
HackerOne 上匯聚了大約 1500 名黑客。他們已經修復了大約 9000 個漏洞,共收到 300多萬美元賞金。對于剛剛開始考慮支付漏洞發現獎金的公司來說, HackerOne 是一個匯集了聲譽良好的黑客的平臺,并且還幫助它們處理了整個過程里的文書工作,比如報稅和支付。
HackerOne 并不是唯一一家做這個業務的公司。它還要和創立了這種獎勵計劃的Facebook、微軟和 Google 展開競爭(公司創始人也出自這些企業,HackerOn e的顧問 Chris Evans 也是 Google 的漏洞發現獎勵計劃的開創者。)一些公司,比如聯合航空(United Airlines),最近也啟動了自己的漏洞發現獎勵計劃。一位安全研究人員在Twitter 上發消息,公布了聯合航空飛機機上 Wifi 系統存在的一個漏洞,并且告訴 FBI 說他已經在坐飛機的時候仔細查看了飛機的網絡。隨后,聯合航空開始給發現漏洞的黑客贈送免費的常旅客優惠里程。
HackerOne 的競爭對手還有 Bugcrowd,它是一家類似的創業公司,向公司收取年費,幫助它們管理漏洞發現獎勵計劃。Bugcrowd 的客戶都是些年輕的公司,比如 Pinterest,還有像西聯匯款這樣的機構。
HackerOne 和它的競爭對手們可能會在未來的幾個月里面臨一個重大的監管障礙。政府正在考慮對《瓦森納協定(Wassenaar Arrangement)》進行修改——它是由 41 國在 20年前簽署的一個出口管制協定,簽署國包括俄羅斯、一些歐洲國家和美國,它要求研究人員在向簽署國以外國家的公司遞交漏洞信息之前,必須得到相關國家政府的許可。
“政府可能不會在乎嚴重性較低的問題,但關鍵的漏洞可就是另一回事了,” Bugcrowd 負責安全運營的高級總監 Kymberlee Price 說,“對于研究人員是否可以把漏洞信息告訴花旗銀行這件事,我們真的該讓俄羅斯政府參與決定嗎?”
京公網安備 11010502049343號