很多人不知道，安全是黑產都需要重視的話題。就在上周，大型暗網市場Hansa借鑒了許多公司的普遍做法，發(fā)布了漏洞賞金計劃，獎勵金額最高可達10比特幣，約合1萬美元。

Hansa發(fā)布的這個獎勵計劃，既是害怕執(zhí)法機關的查處（對網站所有者及其用戶身份的曝光），也是害怕其他黑客前來攪和，從這個層面來說，在暗網做生意還真是比一般的電商處境艱難許多。Hansa分別在網站和社交新聞站點Reddit上發(fā)布此消息。

暗網也需要“白帽子”

畢竟和合法的生意還是有很大不同，Hansa如果遭遇入侵，是不能尋求警方或FBI的幫助的。據Hansa管理員所說，網站在2016年的業(yè)務超過300萬美元，雖然在去年有很多同類型網站都遭到取締，但是Hansa的發(fā)展反而有持續(xù)擴張趨勢。Hansa提供的服務與其他的暗網市場并沒有太大的區(qū)別，網站提供一些非法物品的買賣，包括一些被黑的賬戶密碼，毒品，惡意軟件、槍支等。

上周，最大的暗網市場AlphaBay被發(fā)現(xiàn)存在漏洞，AlphaBay給發(fā)現(xiàn)漏洞的黑客付了一筆錢之后，才不致信息泄露。Hansa于此發(fā)布漏洞獎勵計劃也就沒什么好奇怪的了。畢竟五角大樓有漏洞賞金計劃，Google和Facebook也有，沒道理暗網就不能有。

要知道AlphaBay的漏洞讓入侵者可以獲取超過218,000條私密信息，其中包括用戶收件地址、比特幣錢包賬號、物流號等等。

而之前也有其他暗網市場被勒索的情況發(fā)生，像是SilkRoad，就被威脅不支付贖金就會將網站的敏感信息和負責人的真實身份發(fā)送給當?shù)貓?zhí)法機構（做生意好兇險）。

已有漏洞被發(fā)現(xiàn)

據CyberScoop報道，在漏洞賞金計劃發(fā)布之后已經有人發(fā)現(xiàn)了Hansa的兩個漏洞。其中一個是被垃圾郵件和釣魚入侵者利用的驗證碼繞過漏洞，還有暴露在外的數(shù)據庫，雖然這個數(shù)據庫并不存在什么敏感信息。Hansa為這名黑客的發(fā)現(xiàn)提供了1比特幣酬金，這個報酬還是略低的。真名黑客Cipher0007聲稱，漏洞令他能夠獲取240,000個Hansa用戶名。

　　如上圖所示，Hansa的懸賞標準如下：

可能嚴重破壞網站完整性的漏洞（像是IP地址和供應商或用戶的個人信息）：10比特幣

可能讓市場下線的非關鍵漏洞：1比特幣

簡單的顯示問題或某些意想不到的行為（不是拼寫或者語法錯誤）：0.05比特幣

和其他的漏洞賞金計劃一樣，白帽子想要獲得賞金需要滿足以下條件：不能造成主要服務下線，不訪問其他用戶賬戶，只能使用測試賬戶來演示漏洞情況。

*參考來源：softpedia，bleepingcomputer，F(xiàn)B小編孫毛毛編譯，轉載請注明來自FreeBuf.COM