HackerOne 平台近日宣布,到目前为止,在其平台中有 6 名注册白帽黑客赚取的漏洞赏金超过 100 万美元。
据悉,HackerOne 是一个第三方漏洞众测平台,它的客户包括通用汽车、高盛、谷歌、英特尔、微软、Spotify、星巴克、twitter 甚至是美国国防部。它的宗旨是利用注册的白帽黑客力量,在恶意攻击者利用漏洞前,发现并堵住漏洞。在这个过程中,白帽黑客通过发现漏洞来获得厂商给予的赏金。
2019 年 3 月,Santiago Lopez 成为第一位通过 HackerOne 平台赚取超过 100 万美元的白帽黑客。
HackerOne 平台表示,“现在,来自英国的 Mark Litchfield(@mlitchfield)、来自澳大利亚的 Nathaniel Wakelam(@nnwakelam)、来自瑞典的 FransRosen(@fransrosen)、来自香港的 Ron Chan(@ngalog)和来自美国的 DeVoss(@dawgyg)通过挖漏洞而提升互联网安全,加入百万美金黑客俱乐部。”自从该平台将渗透测试者、安全研究人员和全球各地的企业对接以来,总共有六位注册人获得了超过 100 万美元的奖金。
此事一经公布,在推特上迎来众多网友祝贺。有网友表示,“恭喜,我希望非洲能很快出现第一个百万富翁的白帽黑客。”还有网友说,“非洲正在崛起,我们将为它们带来赏金。”“如果在非洲举办线下黑客活动,那将是非常棒的。埃及肯定是一个良好的开端,因为他们那里有相当庞大的黑客社区。” 网友 Yassineaboukir 说。
6200 万美元的赏金据悉,通过 HackerOne 平台,黑客每次报告平台上有漏洞赏金计划的组织软件存在安全漏洞时,都会获得金钱奖励。
“每 5 分钟,一名黑客就会报告 1 个漏洞。每 60 秒,一名黑客就与 HackerOne 平台上的一个组织合作。”HackerOne 表示,“为了建设更安全的互联网,黑客、公司或政府每天在平台上有超过 1000 次互动。”
在北美十大顶级银行中,有六家银行正在与 HackerOne 合作。
HackerOne 2019 黑客支持安全报告发布了一份调查结果,调查基于超过 123000 个已经被解决的安全问题。调查报告显示,超过 1400 个客户项目的 6200 万美元的奖金支付给来自 150 多个国家的黑客,这表明现在被发现的漏洞比以往更严重。
仅在过去一年,超过 25% 被发现的漏洞归为严重漏洞级别,并且赏金越大,这一漏洞越严重,白帽黑客就能获得越来越大的奖金。
1 年奖金高达 2100 万美元据悉,支付给研究人员的平均关键漏洞奖金比去年所有相关行业的中位数增加 48%,达到 3384 美元,高于 2281 美元,而比 2016 年的平均数 1977 美元增长了 71%。
HackerOne 称,“目前最有竞争力的项目,比如谷歌、微软、苹果和英特尔,它们为关键漏洞提供高达 150 万美元的个人奖励。”
总体而言,通过 HackerOne 漏洞赏金计划报告漏洞的安全研究人员在过去一年获得 2100 万美元奖金,比去年增加了 1000 万美元。
认识一下这 6 位百万白帽黑客Santiago Lopez—19 岁的首位百万赏金白帽黑客
Lopez 是一名 19 岁的白帽黑客,其名称是 @try_to_hack,他来自阿根廷,自 2015 年成为 HackerOne 平台的成员。
Santiago Lopez 说:“当我入门 Hacking 领域时,对赚钱完全没有概念。当然,现在觉得自己的努力得到认可,这才是非常自豪的事。不是因为钱,而是这个成就代表人们和公司更加注重安全,让人难以置信。”
Santiago Lopez 因少年时观看黑客电影而入门安全行业,在 2015 年,他注册成为 HackerOne 平台的白帽,那时才认识到可以通过利用自己的技术发现漏洞来赚钱。Lopez 透露,他自己完全是自学成才,所有的学习渠道都来自互联网、在线课程和看书。
截至目前,他总共发现了 1676 个安全漏洞,像 Twitter、HackerOne、Automattic、Verizon 和私人公司,甚至包括美国政府。可谓成绩斐然。
Mark Litchfield(@mlitchfield)——漏洞众测行业老兵
Mark Litchfield 来自英国,被 HackerOne 尊称为漏洞众测行业的老兵。
1999 年,他在苏格兰一条大街上卖电脑,经营规模小,赚不到什么钱。后来,经过其从事安全工作的兄弟 David 介绍,学习了一个 Windows Server NT4 的课程,三天后,他去了伦敦,开始从事安全工作。
“黑客可以为任何拥有笔记本电脑的人打开大门,并对如何破坏事物产生好奇心,”英国的新晋级白帽黑客 Mark Litchfield(@mlitchfield)说,“我希望我们的成就可以鼓励其他白帽黑客,无论老幼,测试他们的技能,成为支持社区的一部分,让互联网成为更安全的地方。”
Mark Litchfield(@mlitchfield)从一些知名公司发现了数百个软件漏洞,包括 Dropbox、Yelp、Venmo、Starbucks、Shopify 和 Rockstar Games。
Frans Rosen (@fransrosen)——有 ceo 才华的顶级白帽黑客
Frans Rosen 是瑞典人,他是一位技术企业家、漏洞赏金猎人和 Detectify 的知识顾问。他不仅成功经营着自己的网络安全公司,而且在多家安全公司担任 CEO、CTO 和董事会成员。
据悉,他是 Detectify Labs 的常客博主,也是 HackerOne 平台上漏洞赏金计划的顶级参与者。在 HackerOne 十大知名漏洞赏金猎人名单中,他排名第二。
同时,他的安全研究成果在 Observer、bbc、Ars Technica 和 SC Magazine 等众多国际刊物中得到了报道。
Frans Rosen 始终信奉一个观点:Hacking 应该为人类服务,并应该回报黑客社区。因此,他也经常将他的漏洞赏金捐献给慈善行业。
Nathaniel Wakelam (@nnwakelam)——长期霸榜 HackerOne 平台前三
Nathaniel Wakelam 24 岁,来自澳大利亚,也就是大家熟知的 Naffy。
他说,“漏洞赏金给了我从未预料到的机会。当我开始时,这个行业还处于起步阶段,只有少数公司邀请黑客寻找和分享漏洞。6 年后,这个行业发生了巨大变化。漏洞赏金可以让我在世界各地灵活地进行工作,并与我尊重的行业人士建立联系,并在生活中能赚取不错的收入。我很高兴,成为第一批达到这个里程碑的人。”
据 HackerOne 透露,Nathaniel 呆在一个地方不会超过 30 天。目前,他经常生活在泰国各地,不做漏洞众测的时间里,Nathaniel 会去旅游和参加各种聚会。
Nathaniel 在小学时就发现了第一个漏洞,随后又发现了 700 多个漏洞,这深厚的功底让他一直占据 HackerOne 排行榜的前三位置。
Ron Chan (@ngalog)——优秀的年轻白帽黑客
Ron Chan 28 岁,来自中国香港,他热衷于发现一些复杂的入侵测试技术(big tech)。利用这些技术,他发现了 airbnb、gitLab、PayPal 和 uber 的多个严重漏洞。
如果像 Ron Chan 这般优秀,你也可以在 2019 年 7 月的一个月时间,赚到 7 万 5 千美金。
他说,“当我第一次尝试攻击时,没想到我会取得不小成绩。我看到,像‘Frans’和‘Mark’这样的名字一周又一周地出现在排行榜的前列,从未想过我能见到他们或与他们一起工作。这太棒了。这是一个伟大的时刻,达到价值 100 万美元的里程碑。”
Tommy DeVoss (@dawgyg)——迷途知返的白帽黑客
Tommy DeVoss 35 岁,来自美国,他曾在黑客道路上迷失方向,犯下错误。2000 年,他因窃取 AOL 账户用于入侵军方系统而被定罪。出狱之后,DeVoss 从一份 IT 工作做起,慢慢改变自己。后来,他发现,可以通过 HackerOne 平台来赚钱并且完全合法。在 H1-702 比赛期间,DeVoss 就通过发现漏洞获得了 13 万美元的赏金。