摘要:該年度報告對漏洞賞金和漏洞披露生態系統進行了研究,詳細的介紹了以 HackerOne爲代表的黑客社區中的 170 個國家/地區的白帽子們的努力和動機:致力於在 HackerOne 平臺上保護多家公司和政府機構。財報數據顯示,HackerOne 支付給白帽子們的報酬總額不斷的上升,從 2013 年 10 月(HackerOne 開始支付賞金的第一個月)向全球白帽子支付的 30,000 美元到 2020 年 4 月向白帽子支付的 590 萬美元,這個創紀錄的里程碑展示了世界上最大的黑客社區是如何來填補我們互聯網社會日益增長的安全需求。

截至 2020 年 5 月 底,HackerOne平臺宣佈,已經向全世界的白帽子們支付了 1 億美元的賞金。

該賞金是給予白帽子們發現並向組織報告了有效安全漏洞的獎勵,以便各公司和機構可以更加安全地解決各項網絡問題。

2020 黑客報告 》表明:白帽子作爲一種可行的職業概念已經成爲現實,有 18%的人將自己描述爲全職白帽子,尋找網絡漏洞併爲所有人提供更安全的互聯網系統。

該年度報告對漏洞賞金和漏洞披露生態系統進行了研究,詳細的介紹了以 HackerOne爲代表的黑客社區中的 170 個國家/地區的白帽子們的努力和動機:致力於在 HackerOne 平臺上保護多家公司和政府機構。

HackerOne 首席執行官馬爾滕·米科斯 (Makerten Mickos) 自豪地宣佈:“自從開始向客戶提供漏洞報告以來,HackerOne 漏洞賞金獵人已經發現了約 17 萬個安全漏洞。”

財報數據顯示,HackerOne 支付給白帽子們的報酬總額不斷的上升,從 2013 年 10 月(HackerOne 開始支付賞金的第一個月)向全球白帽子支付的 30,000 美元到 2020 年 4 月向白帽子支付的 590 萬美元,這個創紀錄的里程碑展示了世界上最大的黑客社區是如何來填補我們互聯網社會日益增長的安全需求。

另外,向 HackerOne 提交安全漏洞報告的白帽子中,12% 的人每年僅通過漏洞獎勵就能獲得超過 2 萬美元的收入,而 1% 的人每年能獲得價值超過 35 萬美元的獎勵,3% 的人每年能獲得超過 10 萬美元的獎勵。

通過調查兩年前在 HackerOne 平臺上註冊的 1700 多名漏洞賞金獵人的報告顯示:在同一個國家,頂尖白帽子的平均薪酬將是軟件工程師平均薪酬的 2. 7 倍。

全球黑客社區高級總監盧克·塔克(Luke Tucker)說:”白帽子是造福全球的力量,他們共同努力確保我們互聯網社會的安全,社區歡迎所有樂於接受知識和熱愛挑戰的人們,用創造性來克服侷限性。“

不斷增長的白帽子們用積極的力量彙集了防禦數據泄露的能量,減少了網絡犯罪,保護了人們的隱私並恢復了我們對數字社會的信任。

來看看這次邁向 1 億美元旅程的亮點:

84:即該平臺每小時簽署新白帽子的數量  

$6000:平臺上每隔一小時支付的懸賞金額 

214 :同期白帽子的增長比例 

85.6  :賞金總額的同比增長,尤其自 2 月份宣佈 COVID-19 大流行以來,賞金總額增長了 17.5%。   

343 :在Hacker101 上過去一年申請人數的增加  

38 :自 2 月份宣佈 COVID-19 大流行以來,在Hacker101上平均每週新註冊數的增加。   

超過 170,000 :在近 2000 個客戶程序中發現的白帽子數量

馬爾滕·米科斯 (Makerten Mickos)說:“我們正在建立一個社區,能夠測試和審查我們數字連接文明的每一個方面。1 億美元的數字吸引了最優秀的白帽子,爲公司和政府大大降低了數據泄露的風險。在這個不斷發展的新世界中,取得成功唯一的方法就是變得透明,開放的擁抱白帽子們是通往前進的道路。”

米科斯Mickos 還分享了對未來的預測:

白帽子將在五年內通過 HackerOne 獲得 10 億美元的漏洞賞金。

預計未來 15 年內,將從我們的白帽子隊伍中培養出 500 多名首席信息安全官(CISO)。

HackerOne 社區中將會產生更多傑出的安全專家,來填補該行業的人才缺口,這些熟練且有進取心的人將會幫助商業企業和政府機構減少網絡風險。

每一分鐘,全球的白帽子都在和公司齊心協力來增強它們的安全性。

精英白帽子 Frans Rosen 反映:“我最喜歡的是與人們互動,尤其是他們對漏洞的反應。比如當我製作一個小遊戲來顯示某公司漏洞的影響,該公司的 CISO 在深夜打電話給我來詳細瞭解漏洞的情況,當我感受到他對漏洞的嚴重恐慌時,會覺得自己的付出很有成就感。”

企業一直在尋求增長:擴展新市場,交付新產品和服務,增加新客戶,發佈移動產品,採用新的付款方式,增加 Web 資產等等。但每次產生新變化,都會 添加新的一層 攻擊面。

所以對於公司而言,與最大最活躍的白帽子社區合作可以使他們以更有效的方式採取 主動 安全策略。

同時對白帽子們而言,通過與有合作意向的組織合作,來作爲該組織安全團隊的延伸,比他們在自己國家擔任軟件工程師時的收入高出 36%。

很顯然,這是一件雙贏的好事。

在我國也不例外,今年4月份騰訊也與 HackerOne 達成合作,在 HackerOne 上註冊的安全測試人員中,有超過 60 萬人可以加入騰訊的漏洞賞金計劃,尋找該公司產品中的漏洞。

HackerOne 社區可以訪問由騰訊安全響應中心(TSRC)對外部託管的騰訊公共漏洞賞金計劃。

騰訊將利用 HackerOne 的平臺進行賞金支付 ,所有獎勵金額都由騰訊(與白帽協商)決定。

HackerOne 上的安全研究人員可以根據騰訊的漏洞賞金支付信息頁面提示,通過 Coinbase 使用 Paypal,Currency Cloud(銀行轉賬)和比特幣等各種支付方式進行支付。除了賞金以外,研究者還將獲得 HackerOne 信譽積分(每個報告+7 積分,以及與漏洞嚴重性相關的其他積分)。

據報道,對於符合騰訊產品的有效漏洞,白帽子可以獲得最高達 15000 美元的獎勵。

騰訊安全響應首席運營官朱菊菊說:

“我們是中國第一家建立安全響應中心的公司,現在已經開放了所有產品和服務來進行漏洞查找計劃,希望可以獲得全球白帽子安全社區專家們的建設性研究成果。”

有興趣去發現騰訊產品漏洞的 白帽子們可去HackerOne查看《TSRC Bug 賞金計劃》的政策頁面。

*本文作者:日影飛趣,轉載請註明來自FreeBuf.COM 

相關文章