漏洞賞金

漏洞賞金計劃（英語：Bug bounty program）是來自許多網站、組織和軟體開發商提供的一種交易，個人可以通過報告缺陷（尤其是與安全漏洞利用和漏洞相關的缺陷）來獲得認可和獎勵^[1][2][3]。

這些計劃允許開發人員在公眾意識到漏洞之前發現並解決它們，從而防止大規模濫用和數據洩露事件的發生。許多組織已經實施了漏洞賞金計劃，包括Mozilla^[4][5]、Facebook^[6]、Yahoo!^[7]、Google^[8]、Reddit^[9]、Square^[10]、Microsoft^[11][12]和網際網路漏洞賞金計劃^[13]。

科技行業以外，即使是美國國防部這樣的傳統保守組織也開始使用漏洞賞金計劃^[14]。五角大樓（美國國防部）使用漏洞賞金計劃是其姿態轉變的一部分，一些美國政府機構已經從威脅對白帽黑客採取法律措施，轉變為邀請他們參與進來作為全面漏洞披露架構或政策的一部分^[15]。

歷史

Hunter 和 Ready 在 1981 年為他們的Versatile Real-Time Executive作業系統發起了第一個已知的漏洞賞金計劃。任何發現並報告漏洞的人都會得到一輛大眾金龜汽車（a.k.a. Bug）作為獎勵^[16]。

1995 年 10 月 10 日，網景通訊公司為其 Netscape Navigator 2.0 瀏覽器的測試版推出了「漏洞賞金」計劃^[17][18][19]。

政策爭議

2013 年 8 月，一名巴勒斯坦計算機科學專業學生報告了一個漏洞，該漏洞允許任何人將視頻發布到任意 Facebook 帳戶。根據該學生與 Facebook 之間的電子郵件通信，他試圖使用 Facebook 的漏洞賞金計劃報告該漏洞，但 Facebook 的工程師誤解了他的意思。後來，他利用馬克·扎克伯格的 Facebook 個人資料利用了該漏洞，導致 Facebook 拒絕向他支付賞金^[20]。

Facebook 的「白帽」借記卡，發放給報告安全漏洞的研究人員

Facebook 開始向發現並報告安全漏洞的研究人員支付報酬，方法是向他們發放定製品牌的「白帽」借記卡，每次研究人員發現新漏洞時都可以為其充值。Facebook 安全響應團隊前經理 Ryan McGeehan 在接受 CNET 採訪時表示：「發現漏洞和安全改進的研究人員非常少見，我們很重視他們，必須找到獎勵他們的方法。」 「擁有這張獨家黑卡是認可他們的另一種方式。他們可以出現在會議上，出示這張卡，並說『我為 Facebook 做了特殊工作』。」^[21] 2014 年，Facebook 停止向研究人員發放借記卡。^{[來源請求]}

2016 年，優步 發生了一起安全事件，一名個人訪問了全球 5700 萬優步用戶的個人信息。據稱，該個人索要 10 萬美元的贖金，以銷毀而不是公布這些數據。在國會證詞中，優步 CISO 表示，該公司在支付 10 萬美元之前已核實數據已被銷毀^[22]。Flynn 先生對優步沒有在 2016 年披露該事件表示遺憾。作為對該事件的回應的一部分，優步與合作夥伴 HackerOne 合作更新了其漏洞賞金計劃政策，以便更全面地解釋善意的漏洞研究和披露^[23]。

Yahoo! 因向安全研究人員發送 Yahoo! T 恤作為獎勵，以感謝他們發現並報告 Yahoo! 中的安全漏洞而受到嚴厲批評，引發了後來被稱為「T 恤門」的事件^[24]。瑞士日內瓦的安全測試公司 High-Tech Bridge 發布了一份新聞稿，稱 Yahoo! 為每個漏洞提供 12.50 美元的信用額度，可用於在其商店購買 Yahoo! 品牌商品，如 T 恤、杯子和鋼筆。Yahoo! 安全團隊負責人 Ramses Martinez 後來在一篇博客文章中聲稱^[25]，他是代金券獎勵計劃的幕後推手，而且他基本上是用自己的錢支付這些費用的。最終，Yahoo! 在同年 10 月 31 日啟動了新的漏洞賞金計劃，允許安全研究人員提交漏洞並獲得 250 美元到 15,000 美元不等的獎勵，具體取決於發現的漏洞的嚴重程度^[26]。

同樣，當 Ecava 在 2013 年發布第一個已知的 ICS 漏洞賞金計劃時^[27][28]，他們因提供商店積分而不是現金而受到批評，這並不能激勵安全研究人員^[29]。Ecava 解釋說，該計劃最初旨在具有限制性，並側重於其 ICS 軟體IntegraXor SCADA用戶的安全性^[27][28]。

一些漏洞賞金計劃被批評為阻止安全研究人員公開披露漏洞的工具，方法是將參與漏洞賞金計劃，甚至授予 安全港，都與濫用 保密協議 聯繫起來^[30][31]。

分布

儘管漏洞賞金的提交來自許多國家，但少數幾個國家往往提交的漏洞更多，獲得的賞金也更多。美國 和 印度 是研究人員提交漏洞最多的國家^[32]。印度擁有世界上數量最多或第二多的漏洞獵人，具體取決於引用的報告^[33]，在 Facebook 漏洞賞金計劃中提交的有效漏洞數量最多^[34]。2017 年，印度向 Facebook 的 Whitehat 計劃提交的有效漏洞數量最多，其次是美國和千里達及托巴哥^[34]。

著名計劃

2013 年 10 月，Google 宣布對其漏洞獎勵計劃進行重大調整。此前，該計劃是一個涵蓋許多 Google 產品的漏洞賞金計劃。然而，隨著這一轉變，該計劃的範圍擴大到包括精選的高風險 自由軟體 應用程式和 庫，主要是那些為 網絡 或低級 作業系統 功能設計的應用程式和庫。Google 認為符合指南的提交將有資格獲得 500 美元到 3,133.70 美元不等的獎勵^[35][36]。2017 年，Google 擴大了其計劃範圍，將第三方開發並通過 Google Play 商店提供的應用程式中發現的漏洞也包括在內^[37]。Google 的漏洞獎勵計劃現在包括在 Google、Google Cloud、Android 和 Chrome 產品中發現的漏洞，獎勵高達 31,337 美元^[38]。

Microsoft 和 Facebook 於 2013 年 11 月合作發起了「網際網路漏洞賞金」計劃，該計劃旨在為報告各種與網際網路相關的軟體的黑客攻擊和漏洞利用提供獎勵^[39]。2017 年，GitHub 和 福特基金會 贊助了該計劃，該計劃由包括優步、微軟^[40]、Adobe、HackerOne、GitHub、NCC Group 和 Signal Sciences 在內的志願者管理^[41]。IBB 涵蓋的軟體包括 Adobe Flash、Python、Ruby、PHP、Django、Ruby on Rails、Perl、OpenSSL、Nginx、Apache HTTP Server 和 Phabricator。此外，該計劃還為影響廣泛使用的作業系統和 網絡瀏覽器 以及整個網際網路的更廣泛的漏洞利用提供獎勵^[42]。

2016 年 3 月，彼得·庫克 宣布了美國聯邦政府的首個漏洞賞金計劃——「入侵五角大樓」計劃^[43]。該計劃從 4 月 18 日持續到 5 月 12 日，超過 1,400 人通過 HackerOne 提交了 138 份獨特的有效報告。美國 國防部 總共支付了 71,200 美元^[44]。

2019 年，歐盟執委會 宣布了針對流行 開源 項目的 EU-FOSSA 2 漏洞賞金計劃，這些項目包括 Drupal、Apache Tomcat、VLC、7-zip 和 KeePass。該項目由歐洲漏洞賞金平台 Intigriti 和 HackerOne 共同推動，共發現了 195 個獨特且有效的漏洞^[45]。

「公開漏洞賞金」是一個成立於 2014 年的群體安全漏洞賞金計劃，允許個人發布網站和網絡應用程式安全漏洞，希望從受影響的網站運營商那裡獲得獎勵^[46]。

參見

• 賞金獵人
• 網絡軍火工業
• 高德納獎金支票（1980 年的計劃）
• 零日漏洞市場
• 開源賞金
• 白帽黑客
• 零日漏洞

參考文獻

1. The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23 (PDF). HackerOne. 2017 [5 June 2018]. （原始內容存檔 (PDF)於2023-06-05）.
2. Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn. Ethical hacking for boosting IoT vulnerability management. Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing. Ictrs '19. Rhodes, Greece: ACM Press. 2019: 49–55. ISBN 978-1-4503-7669-3. S2CID 202676146. arXiv:1909.11166 . doi:10.1145/3357767.3357774 （英語）.
3. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen. Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure. Crime Science. 2018-11-19, 7 (1): 16. ISSN 2193-7680. S2CID 54080134. doi:10.1186/s40163-018-0090-8  （英語）.
4. Mozilla Security Bug Bounty Program. Mozilla. [2017-07-09]. （原始內容存檔於2018-07-21） （美國英語）.
5. Kovacs, Eduard. Mozilla Revamps Bug Bounty Program. SecurityWeek. 2017-05-12 [2017-08-03]. （原始內容存檔於2023-06-09）.
6. Meta Bug Bounty programme info. Facebook. n.d. [17 October 2023]. （原始內容存檔於2021-01-29）.
7. Yahoo! Bug Bounty Program. HackerOne. [11 March 2014]. （原始內容存檔於2018-02-26）.
8. Vulnerability Assessment Reward Program. [11 March 2014]. （原始內容存檔於2014-03-11）.
9. Reddit - whitehat. Reddit. [30 May 2015]. （原始內容存檔於2018-04-12）.
10. Square bug bounty program. HackerOne. [6 Aug 2014]. （原始內容存檔於2018-08-01）.
11. Microsoft Bounty Programs. Microsoft Bounty Programs. Security TechCenter. [2016-09-02]. （原始內容存檔於2013-11-21）.
12. Zimmerman, Steven. Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program. XDA Developers. 2017-07-26 [2017-08-03]. （原始內容存檔於2017-07-27）.
13. HackerOne. Bug Bounties - Open Source Bug Bounty Programs. [23 March 2020]. （原始內容存檔於2018-03-30）.
14. The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs. Wired. 10 November 2017 [25 May 2018]. （原始內容存檔於2023-08-26）.
15. A Framework for a Vulnerability Disclosure Program for Online Systems. Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. July 2017 [25 May 2018]. （原始內容存檔於2023-03-26）.
16. The first "bug" bounty program. Twitter. 8 July 2017 [5 June 2018]. （原始內容存檔於2023-10-25）.
17. Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0. Internet Archive. [21 Jan 2015]. （原始內容存檔於May 1, 1997）.
18. Bounty attracts bug busters. CNET. 13 June 1997 [17 October 2023]. （原始內容存檔於2024-05-10） （英語）.
19. Friis-Jensen, Esben. The History of Bug Bounty Programs. Cobalt.io. 11 April 2014 [17 October 2023]. （原始內容存檔於16 March 2020）.
20. Zuckerberg's Facebook page hacked to prove security flaw. CNN. 20 August 2013 [17 November 2019]. （原始內容存檔於2023-08-26）.
21. Mills, Elinor. Facebook whitehat Debit card. CNET. [2024-07-24]. （原始內容存檔於2020-02-02）.
22. Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc (PDF). United States Senate. 6 February 2018 [4 June 2018]. （原始內容存檔 (PDF)於2018-09-25）.
23. Uber Tightens Bug Bounty Extortion Policy. Threat Post. 27 April 2018 [4 June 2018]. （原始內容存檔於2024-02-27）.
24. Osborne, Charlie. Yahoo changes bug bounty policy following 't-shirt gate'. ZDNet. [2024-07-24]. （原始內容存檔於2017-06-19）.
25. Martinez, Ramses. So I'm the guy who sent the t-shirt out as a thank you. Yahoo Developer Network. [2 October 2013]. （原始內容存檔於2020-11-12）.
26. Martinez, Ramses. The Bug Bounty Program is Now Live. Yahoo Developer Network. [31 October 2013]. （原始內容存檔於2020-02-02）.
27. Toecker, Michael. More on IntegraXor's Bug Bounty Program. Digital Bond. 23 July 2013 [21 May 2019]. （原始內容存檔於2019-05-27）.
28. Ragan, Steve. SCADA vendor faces public backlash over bug bounty program. CSO. 18 July 2013 [21 May 2019]. （原始內容存檔於2020-07-27）.
29. Rashi, Fahmida Y. SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program. Security Week. 16 July 2013 [21 May 2019]. （原始內容存檔於2019-10-01）.
30. How Zoom handled vulnerability shows the dark side of bug bounty's. ProPrivacy.com. [2023-05-17]. （原始內容存檔於2024-02-24） （英語）.
31. Porup, J. M. Bug bounty platforms buy researcher silence, violate labor laws, critics say. CSO Online. 2020-04-02 [2023-05-17]. （原始內容存檔於2023-05-30） （英語）.
32. The 2019 Hacker Report (PDF). HackerOne. [23 March 2020]. （原始內容存檔 (PDF)於2023-08-26）.
33. Bug hunters aplenty but respect scarce for white hat hackers in India. Factor Daily. 8 February 2018 [4 June 2018]. （原始內容存檔於October 22, 2019）.
34. Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers. Facebook. 11 January 2018 [4 June 2018]. （原始內容存檔於2018-03-23）.
35. Goodin, Dan. Google offers "leet" cash prizes for updates to Linux and other OS software. Ars Technica. 9 October 2013 [11 March 2014]. （原始內容存檔於2016-03-12）.
36. Zalewski, Michal. Going beyond vulnerability rewards. Google Online Security Blog. 9 October 2013 [11 March 2014]. （原始內容存檔於2015-09-22）.
37. Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play. The Verge. 22 October 2017 [4 June 2018]. （原始內容存檔於2018-08-15）.
38. Vulnerability Assessment Reward Program. [23 March 2020]. （原始內容存檔於2014-03-11）.
39. Goodin, Dan. Now there's a bug bounty program for the whole Internet. Ars Technica. 6 November 2013 [11 March 2014]. （原始內容存檔於2016-03-11）.
40. Abdulridha, Alaa. How I hacked Facebook: Part Two. infosecwriteups. 2021-03-18 [2021-03-18].
41. Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure. VentureBeat. 21 July 2017 [4 June 2018]. （原始內容存檔於2020-02-02）.
42. The Internet Bug Bounty. HackerOne. [11 March 2014]. （原始內容存檔於2014-03-12）.
43. DoD Invites Vetted Specialists to 'Hack' the Pentagon. U.S. DEPARTMENT OF DEFENSE. [2016-06-21]. （原始內容存檔於2016-03-13）.
44. Vulnerability disclosure for Hack the Pentagon. HackerOne. [2016-06-21]. （原始內容存檔於2016-04-11）.
45. EU-FOSSA 2 - Bug Bounties Summary (PDF). （原始內容存檔 (PDF)於2023-06-02）.
46. Dutta, Payel. Open Bug Bounty: 100,000 fixed vulnerabilities and ISO 29147. TechWorm. 2018-02-19 [2023-04-10]. （原始內容存檔於2024-04-15） （美國英語）.