截至 2020 年 5 月 底,HackerOne 平台宣布,已经向全世界的白帽子们支付了 1 亿美元的赏金。
该赏金是给予白帽子们发现并向组织报告了有效安全漏洞的奖励,以便各公司和机构可以更加安全地解决各项网络问题。
《2020 黑客报告》表明:白帽子作为一种可行的职业概念已经成为现实,有 18% 的人将自己描述为全职白帽子,寻找网络漏洞并为所有人提供更安全的互联网系统。
该年度报告对漏洞赏金和漏洞披露生态系统进行了研究,详细的介绍了以 HackerOne 为代表的黑客社区中的 170 个国家/地区的白帽子们的努力和动机:致力于在 HackerOne 平台上保护多家公司和政府机构。
HackerOne 首席执行官马尔滕·米科斯 Makerten Mickos) 自豪地宣布:“自从开始向客户提供漏洞报告以来,HackerOne 漏洞赏金猎人已经发现了约 17 万个安全漏洞。”
财报数据显示,HackerOne 支付给白帽子们的报酬总额不断的上升,从 2013 年 10 月(HackerOne 开始支付赏金的第一个月)向全球白帽子支付的 30,000 美元到 2020 年 4 月向白帽子支付的 590 万美元,这个创纪录的里程碑展示了世界上最大的黑客社区是如何来填补我们互联网社会日益增长的安全需求。
另外,向 HackerOne 提交安全漏洞报告的白帽子中,12% 的人每年仅通过漏洞奖励就能获得超过 2 万美元的收入,而 1% 的人每年能获得价值超过 35 万美元的奖励,3% 的人每年能获得超过 10 万美元的奖励。
通过调查两年前在 HackerOne 平台上注册的 1700 多名漏洞赏金猎人的报告显示:在同一个国家,顶尖白帽子的平均薪酬将是软件工程师平均薪酬的 2. 7 倍。
全球黑客社区高级总监卢克·塔克(Luke Tucker)说:”白帽子是造福全球的力量,他们共同努力确保我们互联网社会的安全,社区欢迎所有乐于接受知识和热爱挑战的人们,用创造性来克服局限性。“
不断增长的白帽子们用积极的力量汇集了防御数据泄露的能量,减少了网络犯罪,保护了人们的隐私并恢复了我们对数字社会的信任。
来看看这次迈向 1 亿美元旅程的亮点:
84:即该平台每小时签署新白帽子的数量
$6000:平台上每隔一小时支付的悬赏金额
214%:同期白帽子的增长比例
85. 6 %:赏金总额的同比增长,尤其自 2 月份宣布 COVID-19 大流行以来,赏金总额增长了 17.5%。
343%:在 Hacker101 上过去一年申请人数的增加
38%:自 2 月份宣布 COVID-19 大流行以来,在 Hacker101 上平均每周新注册数的增加。
超过 170,000:在近 2000 个客户程序中发现的白帽子数量
马尔滕·米科斯 Makerten Mickos)说:“我们正在建立一个社区,能够测试和审查我们数字连接文明的每一个方面。1 亿美元的数字吸引了最优秀的白帽子,为公司和政府大大降低了数据泄露的风险。在这个不断发展的新世界中,取得成功唯一的方法就是变得透明,开放的拥抱白帽子们是通往前进的道路。”
米科斯 Mickos 还分享了对未来的预测:
白帽子将在五年内通过 HackerOne 获得 10 亿美元的漏洞赏金。
预计未来 15 年内,将从我们的白帽子队伍中培养出 500 多名首席信息安全官(CISO)。
HackerOne 社区中将会产生更多杰出的安全专家,来填补该行业的人才缺口,这些熟练且有进取心的人将会帮助商业企业和政府机构减少网络风险。
每一分钟,全球的白帽子都在和公司齐心协力来增强它们的安全性。
精英白帽子 Frans Rosen 反映:“我最喜欢的是与人们互动,尤其是他们对漏洞的反应。比如当我制作一个小游戏来显示某公司漏洞的影响,该公司的 CISO 在深夜打电话给我来详细了解漏洞的情况,当我感受到他对漏洞的严重恐慌时,会觉得自己的付出很有成就感。”
企业一直在寻求增长:扩展新市场,交付新产品和服务,增加新客户,发布移动产品,采用新的付款方式,增加 Web 资产等等。但每次产生新变化,都会添加新的一层攻击面。
所以对于公司而言,与最大最活跃的白帽子社区合作可以使他们以更有效的方式采取主动安全策略。
同时对白帽子们而言,通过与有合作意向的组织合作,来作为该组织安全团队的延伸,比他们在自己国家担任软件工程师时的收入高出 36%。
很显然,这是一件双赢的好事。
在我国也不例外,今年 4 月份腾讯也与 HackerOne 达成合作,在 HackerOne 上注册的安全测试人员中,有超过 60 万人可以加入腾讯的漏洞赏金计划,寻找该公司产品中的漏洞。
HackerOne 社区可以访问由腾讯安全响应中心(TSRC)对外部托管的腾讯公共漏洞赏金计划。
腾讯将利用 HackerOne 的平台进行赏金支付,所有奖励金额都由腾讯(与白帽协商)决定。
HackerOne 上的安全研究人员可以根据腾讯的漏洞赏金支付信息页面提示,通过 Coinbase 使用 Paypal,Currency Cloud(银行转账)和比特币等各种支付方式进行支付。除了赏金以外,研究者还将获得 HackerOne 信誉积分(每个报告 +7 积分,以及与漏洞严重性相关的其他积分)。
据报道,对于符合腾讯产品的有效漏洞,白帽子可以获得最高达 15000 美元的奖励。
腾讯安全响应首席运营官朱菊菊说:
“我们是中国第一家建立安全响应中心的公司,现在已经开放了所有产品和服务来进行漏洞查找计划,希望可以获得全球白帽子安全社区专家们的建设性研究成果。”
有兴趣去发现腾讯产品漏洞的白帽子们可去 HackerOne 查看《TSRC Bug 赏金计划》的政策页面。
*本文作者:日影飞趣,转载请注明来自 FreeBuf.COM