计划。
甚至普通人也可以从这类平台上获得奖赏。Twitter表示任何人提交了有效Bug都能获得至少140美元的酬劳。还曾有一个人在坐飞机时,发现了Wi-Fi系统中存在的一个漏洞,当即发表在了自己的Twitter账号上。随后不久,航空公司赠送给了他免费的旅客优惠里程,并通过短信的方式表达了感谢。
另一方面,市面上也有许多更为直接的竞争对手,比如会跟企业收年费进行管理的Bugcrowd。而HackerOne的优势在于,它是这一模式的鼻祖,所以也招揽到了第一批拥有这方面意向的企业和黑客们。在HackerOne这种模式出现之前,有能力修复漏洞的人,往往会选择把漏洞留在那里任人攻击。因为只有问题发展得更为严重了,他们自身的价值才能体现出来。而HackerOne的做法是奖励那些永远不泄漏漏洞的黑客,并让他们相信这么做是正确的。
HackerOne汇聚了声誉最好的黑客们。截至今年6月,这一千多名黑客一共发现了9000多个漏洞,共赚取了大约300万美元的佣金。而合作企业选择它还有一个缘由,那就是除了发现漏洞外,黑客们还会帮着做一些其他事情。比如报税、支付等文书工作,他们同样可以代劳。
但在一片祥和背后我们也得想到一种情况:任何时候都会有愣头青出现。死活不肯买账的公司大有人在,比如苹果公司。如上文所说,美国政府曾花100万美元买了苹果系统的一个漏洞,而从今年年初至今,苹果一共出现了大概100多个漏洞,其中甚至包括可能泄露用户密码的高危漏洞。可苹果就是坚持不和漏洞发现者合作,而是一再更新自己的系统,现在在黑市上,一个含金量高的苹果系统漏洞能卖到50万美元。
今日的漏洞买卖已经成了一条非常成熟的产业链,黑客们只是其中一角。当有人把你家网站确认成了攻击目标,那就会派指定黑客对它进行全面性扫描,从而找到可乘之机。他们甚至可以从空调系统入手,入侵到整个公司的支付系统中。譬如美国政府和以色列政府联合开发的Stuxnet蠕虫病毒,就曾经利用多个系统漏洞,破坏了目标清单中的一台伊朗铀离心机。
HackerOne这类公司的出现,无疑成了这类漏洞购买者的绊脚石。美国政府正准备修改《瓦森纳协定》,要求研究人员在向协定签署国以外国家的公司提交漏洞信息前,需要先获得国家相关部门的许可。这样一来,美国黑客的漏洞发现奖励业务,就会大大受限。假如HackerOne在和花旗银行进行合作时,发现的漏洞居然要先上报给国家,这样花旗肯定是不会同意的。
两个黑客出身的年轻人,一方面寻找着别人网站中的漏洞,另一方面找准了自身所处行业的“漏洞”,他们创办的HackerOne即便称不上改变历史,至少也是帮全世界躲起来干活儿的黑客们找到了更好的出路。尽管因为各种各样的因素,其发展过程势必会比最初波折许多,但我们相信在不久的将来,“黑客”将不再是一个贴有贬义标签的词。
编辑·刘海星