跳转到内容

漏洞赏金

维基百科,自由的百科全书

漏洞赏金计划(英語:Bug bounty program)是来自许多网站、组织和软件开发商提供的一种交易,个人可以通过报告缺陷(尤其是与安全漏洞利用漏洞相关的缺陷)来获得认可和奖励[1][2][3]

这些计划允许开发人员在公众意识到漏洞之前发现并解决它们,从而防止大规模滥用和数据泄露事件的发生。许多组织已经实施了漏洞赏金计划,包括Mozilla[4][5]Facebook[6]Yahoo![7]Google[8]Reddit[9]Square[10]Microsoft[11][12]和互联网漏洞赏金计划[13]

科技行业以外,即使是美国国防部这样的传统保守组织也开始使用漏洞赏金计划[14]。五角大楼(美国国防部)使用漏洞赏金计划是其姿态转变的一部分,一些美国政府机构已经从威胁对白帽黑客采取法律措施,转变为邀请他们参与进来作为全面漏洞披露架构或政策的一部分[15]

历史

Hunter 和 Ready 在 1981 年为他们的Versatile Real-Time Executive操作系统发起了第一个已知的漏洞赏金计划。任何发现并报告漏洞的人都会得到一辆大众甲壳虫汽车(a.k.a. Bug)作为奖励[16]

1995 年 10 月 10 日,网景通讯公司为其 Netscape Navigator 2.0 浏览器的测试版推出了“漏洞赏金”计划[17][18][19]

政策争议

2013 年 8 月,一名巴勒斯坦计算机科学专业学生报告了一个漏洞,该漏洞允许任何人将视频发布到任意 Facebook 帐户。根据该学生与 Facebook 之间的电子邮件通信,他试图使用 Facebook 的漏洞赏金计划报告该漏洞,但 Facebook 的工程师误解了他的意思。后来,他利用马克·扎克伯格的 Facebook 个人资料利用了该漏洞,导致 Facebook 拒绝向他支付赏金[20]

Facebook 的“白帽”借记卡,发放给报告安全漏洞的研究人员

Facebook 开始向发现并报告安全漏洞的研究人员支付报酬,方法是向他们发放定制品牌的“白帽”借记卡,每次研究人员发现新漏洞时都可以为其充值。Facebook 安全响应团队前经理 Ryan McGeehan 在接受 CNET 采访时表示:“发现漏洞和安全改进的研究人员非常少见,我们很重视他们,必须找到奖励他们的方法。” “拥有这张独家黑卡是认可他们的另一种方式。他们可以出现在会议上,出示这张卡,并说‘我为 Facebook 做了特殊工作’。”[21] 2014 年,Facebook 停止向研究人员发放借记卡。[來源請求]

2016 年,优步 发生了一起安全事件,一名个人访问了全球 5700 万优步用户的个人信息。据称,该个人索要 10 万美元的赎金,以销毁而不是公布这些数据。在国会证词中,优步 CISO 表示,该公司在支付 10 万美元之前已核实数据已被销毁[22]。Flynn 先生对优步没有在 2016 年披露该事件表示遗憾。作为对该事件的回应的一部分,优步与合作伙伴 HackerOne 合作更新了其漏洞赏金计划政策,以便更全面地解释善意的漏洞研究和披露[23]

Yahoo! 因向安全研究人员发送 Yahoo! T 恤作为奖励,以感谢他们发现并报告 Yahoo! 中的安全漏洞而受到严厉批评,引发了后来被称为“T 恤门”的事件[24]。瑞士日内瓦的安全测试公司 High-Tech Bridge 发布了一份新闻稿,称 Yahoo! 为每个漏洞提供 12.50 美元的信用额度,可用于在其商店购买 Yahoo! 品牌商品,如 T 恤、杯子和钢笔。Yahoo! 安全团队负责人 Ramses Martinez 后来在一篇博客文章中声称[25],他是代金券奖励计划的幕后推手,而且他基本上是用自己的钱支付这些费用的。最终,Yahoo! 在同年 10 月 31 日启动了新的漏洞赏金计划,允许安全研究人员提交漏洞并获得 250 美元到 15,000 美元不等的奖励,具体取决于发现的漏洞的严重程度[26]

同样,当 Ecava 在 2013 年发布第一个已知的 ICS 漏洞赏金计划时[27][28],他们因提供商店积分而不是现金而受到批评,这并不能激励安全研究人员[29]。Ecava 解释说,该计划最初旨在具有限制性,并侧重于其 ICS 软件IntegraXor SCADA用户的安全性[27][28]

一些漏洞赏金计划被批评为阻止安全研究人员公开披露漏洞的工具,方法是将参与漏洞赏金计划,甚至授予 安全港,都与滥用 保密协议 联系起来[30][31]

分布

尽管漏洞赏金的提交来自许多国家,但少数几个国家往往提交的漏洞更多,获得的赏金也更多。美国印度 是研究人员提交漏洞最多的国家[32]。印度拥有世界上数量最多或第二多的漏洞猎人,具体取决于引用的报告[33],在 Facebook 漏洞赏金计划中提交的有效漏洞数量最多[34]。2017 年,印度向 Facebook 的 Whitehat 计划提交的有效漏洞数量最多,其次是美国和特立尼达和多巴哥[34]

著名计划

2013 年 10 月,Google 宣布对其漏洞奖励计划进行重大调整。此前,该计划是一个涵盖许多 Google 产品的漏洞赏金计划。然而,随着这一转变,该计划的范围扩大到包括精选的高风险 自由软件 应用程序和 ,主要是那些为 网络 或低级 操作系统 功能设计的应用程序和库。Google 认为符合指南的提交将有资格获得 500 美元到 3,133.70 美元不等的奖励[35][36]。2017 年,Google 扩大了其计划范围,将第三方开发并通过 Google Play 商店提供的应用程序中发现的漏洞也包括在内[37]。Google 的漏洞奖励计划现在包括在 Google、Google Cloud、Android 和 Chrome 产品中发现的漏洞,奖励高达 31,337 美元[38]

MicrosoftFacebook 于 2013 年 11 月合作发起了“互联网漏洞赏金”计划,该计划旨在为报告各种与互联网相关的软件的黑客攻击和漏洞利用提供奖励[39]。2017 年,GitHub福特基金会 赞助了该计划,该计划由包括优步、微软[40]、Adobe、HackerOne、GitHub、NCC Group 和 Signal Sciences 在内的志愿者管理[41]。IBB 涵盖的软件包括 Adobe FlashPythonRubyPHPDjangoRuby on RailsPerlOpenSSLNginxApache HTTP ServerPhabricator。此外,该计划还为影响广泛使用的操作系统和 网络浏览器 以及整个互联网的更广泛的漏洞利用提供奖励[42]

2016 年 3 月,彼得·库克 宣布了美国联邦政府的首个漏洞赏金计划——“入侵五角大楼”计划[43]。该计划从 4 月 18 日持续到 5 月 12 日,超过 1,400 人通过 HackerOne 提交了 138 份独特的有效报告。美国 国防部 总共支付了 71,200 美元[44]

2019 年,欧盟委员会 宣布了针对流行 开源 项目的 EU-FOSSA 2 漏洞赏金计划,这些项目包括 DrupalApache TomcatVLC7-zipKeePass。该项目由欧洲漏洞赏金平台 Intigriti 和 HackerOne 共同推动,共发现了 195 个独特且有效的漏洞[45]

公开漏洞赏金是一个成立于 2014 年的群体安全漏洞赏金计划,允许个人发布网站和网络应用程序安全漏洞,希望从受影响的网站运营商那里获得奖励[46]

参见

参考文献

  1. ^ The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23 (PDF). HackerOne. 2017 [5 June 2018]. 
  2. ^ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn. Ethical hacking for boosting IoT vulnerability management. Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing. Ictrs '19. Rhodes, Greece: ACM Press. 2019: 49–55. ISBN 978-1-4503-7669-3. S2CID 202676146. arXiv:1909.11166可免费查阅. doi:10.1145/3357767.3357774 (英语). 
  3. ^ Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen. Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure. Crime Science. 2018-11-19, 7 (1): 16. ISSN 2193-7680. S2CID 54080134. doi:10.1186/s40163-018-0090-8可免费查阅 (英语). 
  4. ^ Mozilla Security Bug Bounty Program. Mozilla. [2017-07-09] (美国英语). 
  5. ^ Kovacs, Eduard. Mozilla Revamps Bug Bounty Program. SecurityWeek. 2017-05-12 [2017-08-03]. 
  6. ^ Meta Bug Bounty programme info. Facebook. n.d. [17 October 2023]. 
  7. ^ Yahoo! Bug Bounty Program. HackerOne. [11 March 2014]. 
  8. ^ Vulnerability Assessment Reward Program. [11 March 2014]. 
  9. ^ Reddit - whitehat. Reddit. [30 May 2015]. 
  10. ^ Square bug bounty program. HackerOne. [6 Aug 2014]. 
  11. ^ Microsoft Bounty Programs. Microsoft Bounty Programs. Security TechCenter. [2016-09-02]. (原始内容存档于2013-11-21). 
  12. ^ Zimmerman, Steven. Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program. XDA Developers. 2017-07-26 [2017-08-03]. 
  13. ^ HackerOne. Bug Bounties - Open Source Bug Bounty Programs. [23 March 2020]. 
  14. ^ The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs. Wired. 10 November 2017 [25 May 2018]. 
  15. ^ A Framework for a Vulnerability Disclosure Program for Online Systems. Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. July 2017 [25 May 2018]. 
  16. ^ The first "bug" bounty program. Twitter. 8 July 2017 [5 June 2018]. 
  17. ^ Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0. Internet Archive. [21 Jan 2015]. (原始内容存档于May 1, 1997). 
  18. ^ Bounty attracts bug busters. CNET. 13 June 1997 [17 October 2023] (英语). 
  19. ^ Friis-Jensen, Esben. The History of Bug Bounty Programs. Cobalt.io. 11 April 2014 [17 October 2023]. (原始内容存档于16 March 2020). 
  20. ^ Zuckerberg's Facebook page hacked to prove security flaw. CNN. 20 August 2013 [17 November 2019]. 
  21. ^ Mills, Elinor. Facebook whitehat Debit card. CNET. 
  22. ^ Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc (PDF). United States Senate. 6 February 2018 [4 June 2018]. 
  23. ^ Uber Tightens Bug Bounty Extortion Policy. Threat Post. 27 April 2018 [4 June 2018]. 
  24. ^ Osborne, Charlie. Yahoo changes bug bounty policy following 't-shirt gate'. ZDNet. 
  25. ^ Martinez, Ramses. So I'm the guy who sent the t-shirt out as a thank you. Yahoo Developer Network. [2 October 2013]. 
  26. ^ Martinez, Ramses. The Bug Bounty Program is Now Live. Yahoo Developer Network. [31 October 2013]. 
  27. ^ 27.0 27.1 Toecker, Michael. More on IntegraXor's Bug Bounty Program. Digital Bond. 23 July 2013 [21 May 2019]. 
  28. ^ 28.0 28.1 Ragan, Steve. SCADA vendor faces public backlash over bug bounty program. CSO. 18 July 2013 [21 May 2019]. 
  29. ^ Rashi, Fahmida Y. SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program. Security Week. 16 July 2013 [21 May 2019]. 
  30. ^ How Zoom handled vulnerability shows the dark side of bug bounty's. ProPrivacy.com. [2023-05-17] (英语). 
  31. ^ Porup, J. M. Bug bounty platforms buy researcher silence, violate labor laws, critics say. CSO Online. 2020-04-02 [2023-05-17] (英语). 
  32. ^ The 2019 Hacker Report (PDF). HackerOne. [23 March 2020]. 
  33. ^ Bug hunters aplenty but respect scarce for white hat hackers in India. Factor Daily. 8 February 2018 [4 June 2018]. (原始内容存档于October 22, 2019). 
  34. ^ 34.0 34.1 Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers. Facebook. 11 January 2018 [4 June 2018]. 
  35. ^ Goodin, Dan. Google offers "leet" cash prizes for updates to Linux and other OS software. Ars Technica. 9 October 2013 [11 March 2014]. 
  36. ^ Zalewski, Michal. Going beyond vulnerability rewards. Google Online Security Blog. 9 October 2013 [11 March 2014]. 
  37. ^ Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play. The Verge. 22 October 2017 [4 June 2018]. 
  38. ^ Vulnerability Assessment Reward Program. [23 March 2020]. 
  39. ^ Goodin, Dan. Now there's a bug bounty program for the whole Internet. Ars Technica. 6 November 2013 [11 March 2014]. 
  40. ^ Abdulridha, Alaa. How I hacked Facebook: Part Two. infosecwriteups. 2021-03-18 [2021-03-18]. 
  41. ^ Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure. VentureBeat. 21 July 2017 [4 June 2018]. 
  42. ^ The Internet Bug Bounty. HackerOne. [11 March 2014]. 
  43. ^ DoD Invites Vetted Specialists to 'Hack' the Pentagon. U.S. DEPARTMENT OF DEFENSE. [2016-06-21]. 
  44. ^ Vulnerability disclosure for Hack the Pentagon. HackerOne. [2016-06-21]. 
  45. ^ EU-FOSSA 2 - Bug Bounties Summary (PDF). 
  46. ^ Dutta, Payel. Open Bug Bounty: 100,000 fixed vulnerabilities and ISO 29147. TechWorm. 2018-02-19 [2023-04-10] (美国英语). 
检索自“https://zh.wikipedia.org/w/index.php?title=漏洞赏金&oldid=83538610