HackerOne平台2016年最具竞争力的漏洞悬赏项目

互联网充斥着漏洞，这是不足为奇的事。从程序员开始写代码起，他们就必定会犯错。而只要他们犯错，犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。

谷歌、Facebook、Dropbox、PayPal、微软、雅虎，甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制，只要黑客发现他们产品存在的漏洞并报告给他们，这些公司就会向这些黑客提供奖金。

这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。

HackerOne作为漏洞奖励平台也吸引了很多需求方的关注，越来越多的企业和政府机构开始加入到漏洞悬赏的阵营中。以下为HackerOne评选的2016年最具竞争力的漏洞悬赏项目，白帽黑客们赶紧看过来！

1. PornHub

今年5月，为了鼓励人们提交网站安全漏洞，成人网站Pornhub携手漏洞披露平台HackerOne推出了一个“赏金除BUG”项目，激发人们在第一时间汇报漏洞。

据悉，发现者只需在第一时间汇报漏洞并附上清晰的文字说明（遵照怎样的步骤可重现bug）、屏幕截图、概念验证代码等，就可以获得50美元至25000美元的奖励。

目前PornHub已经接收了311名黑客提交的报道，并感谢他们为挖掘漏洞维护PornHub网站安全方面做出的努力。该项目悬赏的最高金额已经达到20000美元，获得者为今年7月份提交了一个远程执行漏洞报告的研究员。目前，PornHub为漏洞披露项目悬赏的奖金总额已经达到了150420美元。

2. LocalTapiola

大约8个月之前，芬兰保险巨头LocalTapiola推出自己的漏洞悬赏计划，为黑客提供最具竞争力的悬赏平台。

近日，一名安全研究人员因发现关键系统漏洞成功获取18000美元。此外，该公司表示，任何黑客只要能够找到严重的、项目规定范围内的漏洞，都有机会获得50000美元的奖励。

虽然该项目的最高金额尚未透露，但是当LocalTapiola提高了奖赏额后，提交的漏洞报告数量也增长了50%。目前LocalTapiola共计接收了38份漏洞报告，并对40名黑客表达了感谢。

3. Twitter

早在2014年，Twitter 就与HackerOne 合作推出了漏洞赏金计划，为每一个漏洞报告至少支付 140 美元，这些漏洞覆盖 Twitter.com、ads.twitter、移动版 Twitter、TweetDeck、app.twitter 及其 iOS 和安卓应用程序。而事实也证明，Twitter的漏洞悬赏项目确实是安全研究人员最青睐的项目之一。

超过365名黑客已经成功提交了漏洞报告，解决了约549个安全问题。6个月前，一名黑客因发现严重的系统漏洞被成功授予15120美元奖励。目前，Twitter通过HackerOne平台共计支付了561980美元奖励金。

4. Snapchat

Snapchat的漏洞赏金计划是两年前推出的，也是一个相对成功的项目。截至目前共有125名安全研究人员成功提交漏洞报告，共计获取金额超过70000美元。据悉，该项目的最低奖励金额为100美元，但是最高金额在10000—15000美元之间。

5. Uber

今年5月，Uber正式推出自己的漏洞悬赏计划，让世界各地黑客在Uber系统中查找漏洞。小型漏洞赏金在数千美元，但重大的安全漏洞可以赚取高达10000美元。这项活动从5月1日开始，黑客将有90天的时间寻找Uber系统当中的漏洞和错误，发现四个以上漏洞的黑客将额外获得10%的奖金。

这次活动分为三个层次，如果能够更改司机照片或者批量查找用户通用唯一标识符，就可以获得3000美元奖金；如果找到显著的漏洞，如丢失授权检查，导致电子邮件地址、出生日期、姓名以及电话号码等数据曝光，将获得5000美元奖金；至于那些高危漏洞，如完全获得用户帐户控制权，或任何公开社会安全号码、信用卡号码、银行账户号码和驾驶执照照片等个人资料的安全漏洞，黑客将可以获取10000美元奖金。

截至目前，共有466名黑客提交漏洞报告并获得感谢，最高金额为10000美元，平均赏金在759—1000美元之间。

6. Hack the Pentagon（黑掉五角大楼）

“Hack the Pentagon”是美国政府今年发起的计划，旨在测试美国国防部对网络攻击的顺应力。项目于4月份正式启动持续24天，共计发现138个漏洞，奖励金额达70000美元。据悉，此次项目授予的最高奖励金额为3500美元，平均金额为588美元。

总结

随着漏洞悬赏计划逐渐趋势化，安全专家表示，此举虽然有效，但未免显得被动。他们认为，要做这场猫抓老鼠的游戏中领先的唯一途径是，鼓励开发者在设计中结合安全编码实践。

Linux Foundation及其他组织指出：

“今时今日，漏洞悬赏计划是一个不错的亡羊补牢的方式。但长远来说，为保障整个互联网的健全我们还需要更好地投资。开发者应该专注于安全编码技能，而非潜在里担忧漏洞的出现。国家和组织总会有源源不断的间谍工具，但如果你能让安全防御更上一层楼，那么至少那些工具入侵的难度也会加大。”

科学技术的进步永无止境，错误也不会消失。而且，对黑客来说，最好的事物莫过于错误，最重要的是我们能够从错误有所学、有所得。

* 参考来源：ZDNet，米雪儿编译，转载请注明来自FreeBuf.COM