为什么越来越多的科技公司要花巨资请“黑客”来“黑”自己？｜盘点全球10大漏洞悬赏项目

互联网充斥着漏洞，这是不足为奇的事。从程序员开始写代码起，他们就必定会犯错。而只要他们犯错，犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。

而包括谷歌、Facebook、微软、雅虎、360，甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制，只要黑客发现他们产品存在的漏洞并报告给他们，这些公司就会向这些黑客提供奖金。

向来注重用户隐私和数据安全的苹果，近日也发布悬赏令，提供业内最高的200万美元（约人民币1352万元）的奖金鼓励外界破解其今年推出的锁定模式。

看到这估计很多朋友好奇，苹果这个锁定模式到底是什么来头，值得苹果花这么大的心思去邀请别人破解。

根据苹果iOS 16官方描述的说明，“锁定模式”是一项专门针对植入木马的防护程序，用户可以自主选择是否开启这个锁定模式。开启后，像iMessage这类短信应用中，要是收到带有图片或者链接的信息，会被系统自动阻止接收。

除了短信，还有Face Time、Safari 浏览器以及连接电脑时，在机主开启锁定模式后，策略都会变得更加严苛。例如打开锁定模式，将无法从Safari 浏览器下载描述文件安装，从而进一步提高系统的安全性。

那么，“固若金汤”的iOS，为啥还要搞锁定模式？

苹果安全工程和架构主管 Ivan Krsti曾经在一份声明中给出了解释。

“虽然绝大多数用户永远不会成为针对性网络攻击的受害者，但我们仍然需要保护所有使用苹果产品的用户。锁定模式是一项突破性的功能，它反映了我们坚定不移的致力于保护用户免受攻击”。

这是科技行业对黑客发现漏洞的标准回应方式发生重大转变的又一表现。

其实，所谓“漏洞悬赏”（也称为漏洞奖励）机制，就是把全世界的的白帽黑客、安全研究人员和安全爱好者聚合在一起，共同为企业产品或服务挖掘漏洞，这不仅有利于让产品和服务得到进一步改进，同样也是提升消费体验、保护用户隐私和安全。

今天我们盘点了10个全球顶级漏洞悬赏项目，看看这些企业们是如何跟产品死磕，跟自己较劲儿的，来保护消费者隐私安全和用户体验的。

01

微软

无结束期限漏洞悬赏计划

微软先前的漏洞奖励计划限定在部分产品范围内，包括 Office 365、Azure 等，Windows 则仅限一定范围。最近微软对其漏洞奖励计划范围进行了扩张，Windows 系统的各种漏洞现都已加入豪华午餐，甚至包含 Insider 预览版本。

此次，微软Windows 漏洞悬赏计划赏金上限增加到了25万美元，最低为500美元。具体奖金金额取决于安全漏洞的复杂性，以及报告者提交给微软的信息数量。

值得注意的是，微软指出如果安全研究人员发现了已被微软内部员工发现的漏洞，那么第一个发现者最高可以得到这个漏洞赏金的10%。

值得一提的是，该悬赏计划是持续的、无结束期限的。对此，有分析人士指出，微软此举是为了吸引更多的安全研究人员与其共同努力，最终构建出一个更加安全的Windows系统！

02

某神秘公司

25万美元漏洞悬赏计划

近日，Bugcrowd平台宣布了一项新的漏洞悬赏计划，该计划赏金上限为25万美元，据悉，这次的高价奖励是第三方平台收到的数额最大的一笔奖励。

这次“超级机密”的Bugcrowd漏洞奖励计划实行邀请制，而且要求参与的研究人员提交“一份报告，说明他们对于一个潜在攻陷所做的尝试和理念，以及任何相关信息（不管是否达到了所述目标）”。排名前五的报告如未能找到漏洞但展示出了投入和专业性，那么会收到1万美元的奖励作为工作补偿。

据悉，这项计划将持续八周的时间，从9月初一直到10月。据Bugcrowd平台透露，目前已有27名参与者加入该计划。

最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的客户机逃逸漏洞”，以及“能够在另外一个实例中导致执行代码执行的客户机逃逸漏洞”的人员；而发现能导致泄露内存内容和虚拟平台代码的漏洞，则获得10万美元的奖励；另外，如能发现与控制面板基础设施问题实现意外网络相关的漏洞，则可获得2.5万美元的奖励。

03

谷歌

Android安全悬赏计划

Google是当今网络上最具统治力的互联网公司。它从当初一个简单的搜索引擎进化成为现在的一个各种媒介的综合体，它的触角遍及每个家庭和每台移动设备。这种前所未有的规模也造成了它无所不在的安全风险。

Google最关注的漏洞类型有SQL注入、跨站脚本、跨站请求伪造和远程代码执行。发现这些漏洞的研究人员，将获得Google安全团队的充分认可并进入Google名人堂。

而说到Google悬赏计划就不得不提，前几个月闹的沸沸扬扬的20万“Android安全悬赏”项目。据外媒Venturebeat报道，自2010年推出所谓的“Android安全悬赏”项目以来，谷歌已经向1000多名安全研究人员支付了共计900多万美元赏金，单单去年就支付了300多万美元。

如今，该公司宣布提高悬赏金额，因为已经有2年时间没人能领取最高悬赏。谷歌Android团队近日宣布提高两项漏洞悬赏金额：

发现远程漏洞链或破解TrustZone、Verified Boot远程漏洞的人，可以获得20万美元奖金，与之前的5万美元相比翻了4倍；而发现远程内核漏洞的人可获得15万美元奖金，此前为3万美元。想要获得这些奖金吗？快去寻找破解Android的漏洞吧！

04

360

“IoT安全守护计划”，新产品先给黑客免费玩

为了保障产品安全性，360董事长周鸿祎也曾推出一项“IoT安全守护计划”，把360旗下硬件新品第一时间免费提供给知名黑客团队和安全专家进行测试，如果发现严重漏洞将获得单笔最高36万元的现金奖励。

列入“IoT安全守护计划”的有360旗下手机、智能摄像机、路由器、儿童手表、行车记录仪等全线智能硬件，目前已经吸引了著名越狱团队盘古、网络尖刀等国内知名团队，以及来自上海交大、哈工大等高校的研究人员和白帽子黑客加入该计划。

据悉，360早在2012年就推出漏洞奖励机制，是国内第一家为白帽子提供现金奖励的企业。2013年360SRC正式成立，迄今已有上千名白帽子加入360SRC，去年一年奖金总额超过100万，2017年的漏洞奖金额度还会提升，预计今年总奖金将达到200万元。

05

Exodus Intelligence

50万美元“研究赞助计划”

2016年8月，在苹果公司刚刚宣布20万美元的漏洞奖金一天之后，安全公司 Exodus Intelligence 又为iOS相关的零日漏洞开出最低5000，最高到50万美元的漏洞赏金。

尽管Exodus公司将这一行为命名为“研究赞助计划”，但实际上该公司是通过买卖0day漏洞来牟取暴利。

据悉，它的赏金计划不仅针对iOS系统，还包括谷歌（Chrome）和微软（Edge）的浏览器，具体赏金金额如上图所示。

06

AgileBits

为1Password启动漏洞悬赏计划

知名 iOS 密码管理应用 1Password 的开发商 Agilebits也曾 通过Bugcrowd 平台宣布：如果有人可以在他们的应用当中找到漏洞（一般指 0-day 漏洞），他们将会支付对方 10 万美元。

在此之前，Agilebits 就已经开启了赏金项目，只不过之前的赏金只有 2.5 万美元。这一次该公司把赏金提高了三倍，足以体现其重视程度。

BugCrowd运营副总裁David Baker说，1Password的“夺旗竞赛”程序对于吸引研究人员参与此次活动而言，是个独到的方式。

07

索尼

Play Station漏洞悬赏计划

2020年，Sony宣布推出一项PlayStation漏洞悬赏计划，并修改以往仅限部分安全研究公司参与的规定，将欢迎所有人士主动参与是次活动，以寻找出任何于PlayStation 4硬件、操作系统、所有配件以及PSN服务有关的漏洞。

其中金额也将根据漏洞的严重性而决定，PSN小漏洞以及大漏洞分别可获100美元起以及3,000美元，而其余类别若相对低级别的漏洞奖金则为500美元起，一旦是严重漏洞即可获50,000美元奖金。

自计划推出以来很快就收到102份漏洞报告，其中88份所汇报的问题也已经解决，Sony官方也先后对41名找到问题的参与者表示谢意，并合共支付总共17.39万美元的奖金以作报酬。

08

华为

800万重金悬赏为鸿蒙系统寻找漏洞

去年10月22日，在2021年开发者大会（Together）上，华为除了带来了全新的HMS Core 6、HarmonyOS 3系统以外，华为还启动了一项重磅的终端安全漏洞奖励计划，希望可以重金诚邀业界高人求漏洞，单漏洞最高奖励150万元，系统性漏洞最高奖励800万元。

对此华为方面也表示，目前华为已经携手业界白帽安全专家，共同打造最安全的操作系统，守护国内消费者的信息安全，不得不说，对于很多网络安全专家们，你们展示的机会来了，有没有能力赚这个钱，就要看自己的本事了。

不得不说，华为官方为了让鸿蒙OS系统能够更加安全，不仅仅制定了“四大主张+三大承诺”的安全与隐私保护战略，制定了最严苛的隐私安全原则，对于不符合信息安全的业务则不会被发布，直接向生态合作伙伴开放安全与隐私能力，彻底的将安全与隐私保障活动嵌入全业务流程。

09

脸书

2011年就已推出漏洞悬赏计划

Facebook早在2011年就已经推出了自己的漏洞赏金计划！

截至2021年10月，Facebook五年来已经付出了500多万美元的赏金。仅在去年上半年，该公司就收到了超过9000份漏洞报告，并向149名研究人员支付了61万美元。

去年3月，芬兰的一个10岁的小孩子发现了Instagram漏洞，因此获得Facebook的65000元赏金。

今年1月，白帽子黑客stewie发现Facebook的ImageMagick（一款开源的创建、编辑、合成图片的软件）的远程代码执行漏洞，获得4万美元赏金。

10

LocalTapiola

The Chinese doctor's Day

2016年上半年，芬兰保险巨头LocalTapiola在HackerOne平台上推出了自己的漏洞悬赏计划，为黑客提供最具竞争力的悬赏平台。

去年已经有一名安全研究人员因发现关键系统漏洞成功获取18000美元。此外，该公司表示，任何黑客只要能够找到严重的、项目规定范围内的漏洞，都有机会获得50000美元的奖励。

虽然该项目的最高金额尚未透露，但是当LocalTapiola提高了奖赏额后，提交的漏洞报告数量也增长了50%。截至去年底，LocalTapiola共计接收了38份漏洞报告，并对40名黑客表达了感谢。

看完这些动辄几十万美元（折合几百万人民币）的赏金计划，你心动没？

但最重要的，还是要为这些企业不断打磨产品，提升用户体验的行为点赞！

这同时也说明了，数据安全和用户体验，已经成为了互联网企业的生命线。

编辑｜十八

供图：网络

来源：部分内容摘自“安小在”

▲香港可持续发展年鉴(1997-2022)｜25年100事

▲辽阔天地敢作为｜政治局会议十大关键词解读

▲春潮逐浪高｜国资委成立社会责任局前后

▲常怀素心为环保｜对话抱朴再生创始人刘学颂

▲上市公司披露碳信息积极吗？|《2021中国上市公司碳信息透明度》报告来了

▲CEO的创业取向与企业社会责任活动选择｜一份面向166位企业CEO的调研发现

▲联合国可持续发展目标语境下的ESG信息披露｜ESG洞察