12月15日消息,据美国媒体报道,安全漏洞悬赏平台Bugcrowd发布的最新数据显示,通过为特斯拉等公司和美国国防部等组织查找安全漏洞并报告所查找出的问题,自由职业型的精英黑客每年能够获得超过50万美元的收入。
于2012年在旧金山成立的Bugcrowd,是为客户查找和报告软件安全漏洞的少数几家所谓的“漏洞悬赏”公司之一。这些公司为黑客提供了一个平台,让黑客安全地对那些希望接受测试的公司的软件进行安全漏洞追踪。
黑客按照合同为特定的公司工作,当他们在该特定公司的基础设施中发现缺陷时,就会获得支付的赏金。他们获得支付赏金的多少,取决于所发现漏洞的严重程度。
Bugcrowd首席执行官凯西·埃利斯(Casey Ellis)表示,由于软件安全领域岗位短缺数百万之多,越来越多的公司在寻找网络安全测试的替代方案。据估计,到2021年,可能会有350万个网络安全工作岗位空缺。
埃利斯表示,Bugcrowd公司去年的所经历的最大一笔支付赏金为11.3万美元,是为一家大型科技硬件公司查找出一个漏洞。数据显示,2018年这样的悬赏金支付同比增长了37%。
从事这样工作的这个群体被称为“道德黑客”(ethical hackers),他们被安全专家雇用来对企业或机构的网络和计算机系统的安全程度进行检测。调查显示,有一半的道德黑客都有全职工作。大约80%的人说,这项努力帮助他们在网络安全领域找到了一份工作。埃利斯称,排名前50的黑客年平均获得约14.5万美元的赏金支付。
据埃利斯称,赚钱最多的那些黑客都拥有过硬的基本技能。
埃利斯表示,“当他们发现一个特殊的漏洞类别,他们就会不断地在不同的公司追踪这个漏洞。他们会在网络空间里到处寻找机会,尽他们所能地利用这个漏洞。”
他还表示,“他们也有很好的侦察技能,知道什么将可能会对企业或机构造成最大损害,并且在此基础上进行操作。对企业如何运作或如何建设基础设施有很好的了解,这是非常有帮助的。”
围绕Bugcrowd平台工作的这类黑客,其中94%的年龄在18岁到44岁之间,而一部分人还在上高中或中学。埃利斯说,接受这样工作的成本很低,必须具有技能。Bugcrowd平台上大约四分之一的黑客,没有大学学位。
为了防止网络攻击,一些公司一直在使用一系列的方法,让拥有黑客技能的人对自己公司的防御能力进行测试。例如,有的公司让内部的安全测试人员充当所谓的“红客”,扮演恶意攻击角色,试图摧毁公司服务器或窃取信息。以此方法检测网络安全性。
一些公司则求助于能够提供这类服务的第三方咨询公司,这样的第三方咨询公司或叫漏洞悬赏公司,如Bugcrowd、HackerOne、Synack和Cobalt。还有一些公司只是通过电子邮件,与那些拥有安全漏洞发现能力的人进行联系。
埃利斯表示,漏洞悬赏方法提供了一种更加正式的方式。黑客工作时必须遵守规则,比如不要从被测试的服务器跳到其他具有敏感数据的服务器。
根据发现的问题的严重程度,IJet和特斯拉向黑客支付的报酬在1万美元至1.5万美元之间。万事达卡(MasterCard)最多支付3000美元。今年10月份,美国国防部将漏洞赏金项目“入侵五角大楼”(Hack the Pentagon)合同,授予了Bugcrowd和HackerOne。(天门山)