继Google、Facebook推出漏洞奖励计划,国内互联网公司也纷纷自建漏洞奖励平台,鼓励安全技术高手为企业发现并通报漏洞信息。据悉,自从360安全漏洞响应平台上线以来,一位名为Mil3s beep的研究人员已获得超过3.5万元的现金奖励。
此前,所谓0day漏洞(从未被公开,也没有补丁的漏洞)通常只在地下“黑市”流通,被黑客用于网络犯罪并且从中国获利。然而如果厂商换一个角度想,其实往往在漏洞被攻击后才最容易发现漏洞、制作补丁,因此损失也难以避免。据悉,通常黑客在发现一些流行软件和操作系统的漏洞,往往可以在“黑市”获利高达几千到数万美元不等,而如果发现一个iOS漏洞甚至卖数十万美元。
不过随着Google等公司推出漏洞奖励计划以后,大批安全技术高手开始将这些漏洞报告给厂商以获取报酬。公开资料显示,Google、Facebook在过去数年内,漏洞奖励金额已经累计达到百万美元以上。就连号称从不买漏洞的微软,也在今年推出“蓝帽奖”(BlueHatPrize),漏洞报告奖金最高可达25万美元。同时,在BlackHat、Defcon、SyScan等安全峰会上也经常举办安全攻防竞赛,国际软件巨头现场征集漏洞,同样奖金不菲。
自从2012年后,国内推出漏洞奖励计划的互联网公司也多了起来,包括腾讯、360、百度、京东、网易等,但大多是以礼品作为漏洞奖励。据腾讯发布的《2012年度腾讯“漏洞奖励计划”工作报告》显示,去年腾讯公司共处理了外部反馈的 2288个安全漏洞,为漏洞报告者提供的奖品,加上邮寄费、奖品个税、人工成本的投入为30万元人民币,平均每个漏洞奖励131元,包括QQ公仔、Q币等也被腾讯作为奖品。
相比之下,360对漏洞报告者的奖励以现金为主,部分威胁程度较低的漏洞则以礼品作为奖励,如键鼠套装、U盘。360安全漏洞响应平台自从2012年5月上线以来,纯奖金支出8.94万元,平均每个漏洞的奖金达到1314元。
在相对优厚的奖励鼓舞下,360安全漏洞响应平台的活跃度也与日俱增,来自天融信阿尔法实验室、安全研究机构BinVul、52Pojie论坛等专业厂商和网站的技术专家们都是360安全漏洞奖励平台致谢名单中的常客,一个人多次获奖的情况十分常见。以匿名高手Mil3s beep为例,他已经获得3.5万元漏洞报告奖金。单笔奖金最高的记录则达到7500元,由另一位匿名人士oo获得。
有观点认为,漏洞报告奖励计划是对互联网安全的有益补充,而高额的现金激励有助于鼓励安全研究人员积极寻找漏洞并向企业报告,而不是贩卖给黑市,合理的报酬也是对漏洞报告者工作的尊重。不过相比国外互联网巨头,国内公司对漏洞的奖励额度仍然偏低。最新消息显示,谷歌已经宣布将基础漏洞奖励额度从1000美元上调至5000美元。