帮助特斯拉找漏洞 自由黑客年赚50万美元
据外媒报道,道德黑客平台Bugcrowd发布的新数据显示,自由职业精英黑客帮助特斯拉等大公司和国防部等政府机构寻找和报告安全漏洞,每年可以赚逾50万美元。
Bugcrowd公司成立于2012年,是少数几家所谓的“捉虫赏金”公司之一。这些公司为黑客们提供了一个施展才华的平台,让他们为需要测试安全的公司寻找安全漏洞。
黑客们与特定的公司签署明确的合同,帮助这些公司寻找安全漏洞,一旦他们在这些公司的基础设施中发现漏洞,他们就会得到赏金。他们的酬劳多少取决于安全漏洞的严重性。
Bugcrowd公司首席执行官凯西o埃利斯(Casey Ellis)表示,由于网络安全领域存在数百万个空缺职位,因此很多公司越来越多倾向于雇用安全专家来测试网络安全。据估计,到2021年,网络安全行业可能会有多达350万个空缺岗位。
埃利斯称,去年,该公司为一个安全漏洞支付了最大一笔酬劳11.3万美元,这是在一家大型科技硬件公司中发现的漏洞。相关数据显示,在2018年,这方面的支出额同比增长37%。
这项调查显示,有一半的道德黑客——被公司雇用来代表它攻击其网络和计算机系统的安全专家——表示,他们有全职工作。约80%的人表示,他们的技能帮助他们在网络安全领域找到了一份工作。埃利斯说,对于前50名黑客来说,平均每年支出的酬劳约为14.5万美元。
据埃利斯说,赚钱最多的黑客具有某些必要的技能。
“他们会发现某种特定的安全漏洞,然后在不同的公司中利用这个漏洞。他们还会在整个网络空间寻找尽可能多的机会来利用这个漏洞。”埃利斯说。
“他们还有很好的侦察技能,能够了解什么漏洞可能对一个组织造成最大的破坏,并据此进行相关的操作。了解企业如何运作,或其基础设施是如何建设的,这真的很有帮助。”他补充说。
虽然Bugcrowd公司中有94%的赏金猎手年龄在18岁到44岁之间,但是还有一些人仍然在读高中或初学。埃利斯说,进入这个行业的成本很低,主要看技能。该平台上有大约四分之一的黑客没有大学学位。
为了防止遭到网络攻击,很多公司让拥有黑客技能的人来测试它们的安全防御能力。一些公司使用自己内部的安全测试人员,通常将他们放在所谓的红队中,扮演试图恶意摧毁公司服务器或窃取信息的角色。
另一些公司则使用提供这项服务的咨询公司,或者像Bugcrowd、HackerOne、Synack和Cobalt这样的捉虫赏金公司。或者,他们只是提供一个向其报告安全漏洞的电子邮件,让任何发现安全漏洞的人与他们联系。
埃利斯称,捉虫赏金计划提供了一种更正规的途径,黑客必须遵守相应的规则,例如不能从被测试的服务器跳到其他存有更敏感数据的服务器。
IJet公司和特斯拉会根据每个安全漏洞的严重程度向黑客支付1000至1.5万美元的酬劳。万事达则就黑客发现的安全漏洞向他们支付最高3000美元的酬劳。今年10月,美国国防部将“攻击五角大楼”合同授予了Bugcrowd和HackerOne公司。