在Google、Facebook等互联网巨头推出漏洞奖励计划后,国内互联网行业也纷纷效仿,推出各自的安全漏洞响应平台。作为中国首家现金奖励漏洞报告者的互联网公司,360安全漏洞响应平台不仅发布重金悬赏令,还在“看雪”等知名的技术网站投放广告,呼吁更多安全研究人员帮助360挖掘和修复自身产品漏洞。据悉,360安全漏洞响应平台自去年5月上线至今,已发布了74个漏洞修复报告,漏洞奖金达到10余万元。
图:360安全漏洞响应平台“打广告找漏洞”
“我们为自己的漏洞买单”,根据360安全漏洞响应平台公告,该平台专门处理360产品和业务漏洞等安全问题。任何人只要发现可能威胁360用户安全的漏洞问题,均可通过网络向该平台举报。凡是经过平台确认的360产品和业务漏洞,360除了发布安全公告致谢外,还会按照漏洞影响的产品、威胁程度等标准,为漏洞报告者提供相应的现金奖励,单个漏洞最高奖金达到1万元。
360安全专家石晓虹博士表示,“漏洞报告奖励计划是帮助企业加强业务安全的有益措施,现金奖励有助于推动技术高手积极寻找漏洞并向企业报告,而不是让这些漏洞威胁到用户安全”。截至目前,已有来自天融信阿尔法实验室、安全研究机构BinVul、52Pojie论坛等专业厂商和网站的安全研究人员参与到360安全漏洞响应平台中。
据了解,在互联网公司悬赏漏洞以前,一些0day漏洞通常在地下“黑市”流通,被黑客用于网络犯罪获利,一些流行软件和操作系统的漏洞,在“黑市”标价往往高达几千到数万美元不等,而一个iOS漏洞甚至可以被卖到数十万美元。
不过随着Google等公司推出漏洞奖励计划,大批安全技术高手开始将这些漏洞报告给厂商以获取报酬。在BlackHat、Defcon、SyScan等安全峰会上也经常举办安全攻防竞赛,国际软件巨头现场征集漏洞,同样奖金不菲。
在国内互联网行业,360是最早推出漏洞现金奖励计划的公司,而腾讯、网易、阿里巴巴、京东等知名企业也建立了各自的漏洞奖励机制,大多是以积分兑换奖品的奖励机制,其宗旨都在于鼓励民间技术高手参与监督网络安全建设,帮助厂商及时发现和修复产品漏洞。
