北京時間1月29日消息,據(jù)《彭博商業(yè)周刊》報道,為了網(wǎng)絡(luò)安全,社交巨頭Facebook向發(fā)現(xiàn)該網(wǎng)站漏洞的黑客提供獎勵,金額從500美元到5000美元不等。為此,F(xiàn)acebook已經(jīng)支付了19萬美元獎金。
計算機安全專家塔爾 貝瑞(Tal Be’ery)此前一直免費幫助Facebook抵御黑客進攻。2010年,貝瑞在研究如何確定使用虛假Facebook用戶信息盜號、發(fā)送垃圾郵件的黑客身份時,發(fā)現(xiàn)了Facebook一個漏洞,這將新用戶的密碼至于危險境地。
對此,貝瑞做出了和其他有道德底線的黑客一樣的舉動:他向Facebook發(fā)出警告,后者迅速修復(fù)了這一問題,而不是向犯罪團伙出售這一信息。作為表彰,F(xiàn)acebook將貝瑞添加到負(fù)責(zé)發(fā)現(xiàn)Facebook漏洞的研究人員公共名單中。
現(xiàn)在,貝瑞有了展示自己勤勞成果更真實的東西——Facebook借記卡。該卡片是Visa的黑色借記卡,F(xiàn)acebook于去年6月向發(fā)現(xiàn)Facebook漏洞的研究人員派送獎金,根據(jù)漏洞的嚴(yán)重程度,F(xiàn)acebook向其獎勵500美元到5000美元不等的現(xiàn)金。更重要的是,該借記卡為黑客帶來了很大的榮耀。這對他們來說是專有的獎勵:美國運通(AMERICAN EXPRESS)的專屬受邀卡百夫長卡(Centurion Card)也是黑色。貝瑞說:“能得到Facebook借記卡會很了不起,這可以告訴我的孫子們,他們的爺爺曾經(jīng)是個黑客。”
Facebook借記卡背后放肆的榮耀卻顯示了嚴(yán)重問題。科技公司目前正陷于如何同應(yīng)用開發(fā)者和安全研究人員發(fā)現(xiàn)漏洞。眾多公司忽視所謂“白帽黑客”(white-hat hacker)主動提出的建議,而有些公司甚至以法律手段威脅黑客。犯罪組織、政府以及中介都希望支付大筆資金購買漏洞,有專家表示,某些漏洞在黑市的交易價格最高達到1百萬美元。
不過,蘋果從不購買漏洞信息,微軟亦是如此,但后者每年舉辦獎金額度高達25萬美元的安全競賽。谷歌則從2010年開始為漏洞檢測支付費用,根據(jù)谷歌的數(shù)據(jù),該公司為此已經(jīng)花費了超過70萬美元。
Facebook首席安全官喬伊·蘇利文(Joe Sullivan)表示:該公司的漏洞獎勵計劃已經(jīng)向93位研究人員支付了19萬美元獎金,其中一位更是拿到了2.4萬美元。
尼爾·普爾(Neal Poole)是布朗大學(xué)( Brown University)大三學(xué)生,他已經(jīng)發(fā)現(xiàn)了15個Facebook漏洞,并得到了獎勵。盡管他并未給出具體數(shù)額,但這位22歲在校生承認(rèn),尋找Facebook漏洞是個不錯的兼職。普爾表示,他還同時加入了谷歌、Firefox的漏洞獎勵項目。他說:“這些錢能改變機制,但是即使沒有沒有這筆錢,我也會參加尋找漏洞,過去會,將來也會。”
根據(jù)普爾的說法,F(xiàn)acebook的黑色借記卡是“很酷的小獎勵”,這令他的朋友甚是羨慕。他說:“這是一個噱頭,但這同其他公司獎勵T-shirt、帽子和其他事物一樣。”
蘇利文稱,漏洞獎勵項目是一個不錯的投資。在推出該項目之前,F(xiàn)acebook每周可以發(fā)現(xiàn)2個高危漏洞,而現(xiàn)在升至8個到9個。他說:“19萬美元聽起來很多,不過在我們工作中,這只不過是九牛一毛。”
不過,以金錢獎勵發(fā)現(xiàn)漏洞者的概念在行業(yè)內(nèi)仍留有爭議。微軟在一份聲明中表示:“我們當(dāng)然重視研究人員的生態(tài)系統(tǒng),并通過各種方式加以展現(xiàn),但我們認(rèn)為向發(fā)現(xiàn)漏洞者支付現(xiàn)金并不是最好的方式。”
對于專業(yè)人士和業(yè)余愛好者來說,并不缺乏目標(biāo)。根據(jù)IBM安全團隊X-Force的數(shù)據(jù),全球每年有超過7000個高危漏洞被發(fā)現(xiàn)。而實際數(shù)據(jù)可能更高,因為不是所有漏洞都被公布于世。向Facebook這樣的社交網(wǎng)站特別脆弱,因為用戶上傳大量未經(jīng)審查的內(nèi)容。
京公網(wǎng)安備 11010502049343號