漏洞赏金

漏洞赏金计划(英語:Bug bounty program)是来自许多网站、组织和软件开发商提供的一种交易,个人可以通过报告缺陷(尤其是与安全漏洞利用漏洞相关的缺陷)来获得认可和奖励[1][2][3]

这些计划允许开发人员在公众意识到漏洞之前发现并解决它们,从而防止大规模滥用和数据泄露事件的发生。许多组织已经实施了漏洞赏金计划,包括Mozilla[4][5]Facebook[6]Yahoo![7]Google[8]Reddit[9]Square[10]Microsoft[11][12]和互联网漏洞赏金计划[13]

科技行业以外,即使是美国国防部这样的传统保守组织也开始使用漏洞赏金计划[14]。美国国防部使用漏洞赏金计划是其姿态转变的一部分,一些美国政府机构已经从威胁对白帽黑客采取法律措施,转变为邀请他们参与进来作为全面漏洞披露架构或政策的一部分[15]

历史

Hunter和Ready在1981年为他们的Versatile Real-Time Executive操作系统发起了第一个已知的漏洞赏金计划。任何发现并报告漏洞的人都会得到一辆大众甲壳虫汽车(a.k.a. Bug)作为奖励[16]

1995年10月10日,网景通讯公司为其Netscape Navigator 2.0浏览器的测试版推出了“漏洞赏金”计划[17][18][19]

政策争议

2013年8月,一名巴勒斯坦计算机科学专业学生报告了一个漏洞,该漏洞允许任何人将视频发布到任意 Facebook 帐户。根据该学生与 Facebook 之间的电子邮件通信,他试图使用 Facebook 的漏洞赏金计划报告该漏洞,但 Facebook 的工程师误解了他的意思。后来,他利用马克·扎克伯格的 Facebook 个人资料利用了该漏洞,导致 Facebook 拒绝向他支付赏金[20]

 
Facebook 的“白帽”借记卡,发放给报告安全漏洞的研究人员

Facebook 开始向发现并报告安全漏洞的研究人员支付报酬,方法是向他们发放定制品牌的“白帽”借记卡,每次研究人员发现新漏洞时都可以为其充值。Facebook 安全响应团队前经理 Ryan McGeehan 在接受 CNET 采访时表示:“发现漏洞和安全改进的研究人员非常少见,我们很重视他们,必须找到奖励他们的方法。” “拥有这张独家黑卡是认可他们的另一种方式。他们可以出现在会议上,出示这张卡,并说‘我为 Facebook 做了特殊工作’。”[21]2014年,Facebook 停止向研究人员发放借记卡。[來源請求]

2016年,优步 发生了一起安全事件,一名个人访问了全球5700万优步用户的个人信息。据称,该个人索要10万美元的赎金,以销毁而不是公布这些数据。在国会证词中,优步 CISO 表示,该公司在支付10万美元之前已核实数据已被销毁[22]。Flynn 先生对优步没有在2016年披露该事件表示遗憾。作为对该事件的回应的一部分,优步与合作伙伴 HackerOne 合作更新了其漏洞赏金计划政策,以便更全面地解释善意的漏洞研究和披露[23]

Yahoo! 因向安全研究人员发送 Yahoo! T 恤作为奖励,以感谢他们发现并报告 Yahoo! 中的安全漏洞而受到严厉批评,引发了后来被称为“T 恤门”的事件[24]。瑞士日内瓦的安全测试公司 High-Tech Bridge 发布了一份新闻稿,称 Yahoo! 为每个漏洞提供12.50美元的信用额度,可用于在其商店购买 Yahoo! 品牌商品,如 T 恤、杯子和钢笔。Yahoo! 安全团队负责人 Ramses Martinez 后来在一篇博客文章中声称[25],他是代金券奖励计划的幕后推手,而且他基本上是用自己的钱支付这些费用的。最终,Yahoo! 在同年10月31日启动了新的漏洞赏金计划,允许安全研究人员提交漏洞并获得250美元到15,000美元不等的奖励,具体取决于发现的漏洞的严重程度[26]

同样,当Ecava在2013年发布第一个已知的 ICS 漏洞赏金计划时[27][28],他们因提供商店积分而不是现金而受到批评,这并不能激励安全研究人员[29]。Ecava 解释说,该计划最初旨在具有限制性,并侧重于其 ICS 软件IntegraXor SCADA用户的安全性[27][28]

一些漏洞赏金计划被批评为阻止安全研究人员公开披露漏洞的工具,方法是将参与漏洞赏金计划,甚至授予安全港,都与滥用保密协议联系起来[30][31]

分布

尽管漏洞赏金的提交来自许多国家,但少数几个国家往往提交的漏洞更多,获得的赏金也更多。美国印度是研究人员提交漏洞最多的国家[32]。印度拥有世界上数量最多或第二多的漏洞猎人,具体取决于引用的报告[33],在 Facebook 漏洞赏金计划中提交的有效漏洞数量最多[34]。2017年,印度向Facebook的Whitehat计划提交的有效漏洞数量最多,其次是美国和特立尼达和多巴哥[34]

著名计划

2013年10月,Google宣布对其漏洞奖励计划进行重大调整。此前,该计划是一个涵盖许多 Google 产品的漏洞赏金计划。然而,随着这一转变,该计划的范围扩大到包括精选的高风险自由软件 应用程序和,主要是那些为网络或低级操作系统功能设计的应用程序和库。Google 认为符合指南的提交将有资格获得500美元到3,133.70美元不等的奖励[35][36]。2017年,Google 扩大了其计划范围,将第三方开发并通过 Google Play 商店提供的应用程序中发现的漏洞也包括在内[37]。Google 的漏洞奖励计划现在包括在 Google、Google Cloud、Android 和 Chrome 产品中发现的漏洞,奖励高达31,337美元[38]

MicrosoftFacebook于2013年11月合作发起了“互联网漏洞赏金”计划,该计划旨在为报告各种与互联网相关的软件的黑客攻击和漏洞利用提供奖励[39]。2017年,GitHub福特基金会赞助了该计划,该计划由包括优步、Microsoft[40]Adobe、HackerOne、GitHub、NCC Group 和 Signal Sciences 在内的志愿者管理[41]。IBB 涵盖的软件包括 Adobe FlashPythonRubyPHPDjangoRuby on RailsPerlOpenSSLNginxApache HTTP ServerPhabricator。此外,该计划还为影响广泛使用的操作系统和网络浏览器以及整个互联网的更广泛的漏洞利用提供奖励[42]

2016年3月,彼得·库克宣布了美国联邦政府的首个漏洞赏金计划——“入侵五角大楼”计划[43]。该计划从4月18日持续到5月12日,超过1,400人通过HackerOne提交了138份独特的有效报告。美国国防部总共支付了71,200美元[44]

2019年,欧盟委员会宣布了针对流行开源软件项目的EU-FOSSA2漏洞赏金计划,这些项目包括DrupalApache TomcatVLC7-zipKeePass。该项目由欧洲漏洞赏金平台 Intigriti 和 HackerOne 共同推动,共发现了195个独特且有效的漏洞[45]

公开漏洞赏金是一个成立于2014年的群体安全漏洞赏金计划,允许个人发布网站和网络应用程序安全漏洞,希望从受影响的网站运营商那里获得奖励[46]

参见

参考文献

  1. ^ The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23 (PDF). HackerOne. 2017 [5 June 2018]. (原始内容存档 (PDF)于2023-06-05). 
  2. ^ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn. Ethical hacking for boosting IoT vulnerability management. Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing. Ictrs '19. Rhodes, Greece: ACM Press. 2019: 49–55. ISBN 978-1-4503-7669-3. S2CID 202676146. arXiv:1909.11166 . doi:10.1145/3357767.3357774 (英语). 
  3. ^ Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen. Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure. Crime Science. 2018-11-19, 7 (1): 16. ISSN 2193-7680. S2CID 54080134. doi:10.1186/s40163-018-0090-8  (英语). 
  4. ^ Mozilla Security Bug Bounty Program. Mozilla. [2017-07-09]. (原始内容存档于2018-07-21) (美国英语). 
  5. ^ Kovacs, Eduard. Mozilla Revamps Bug Bounty Program. SecurityWeek. 2017-05-12 [2017-08-03]. (原始内容存档于2023-06-09). 
  6. ^ Meta Bug Bounty programme info. Facebook. n.d. [17 October 2023]. (原始内容存档于2021-01-29). 
  7. ^ Yahoo! Bug Bounty Program. HackerOne. [11 March 2014]. (原始内容存档于2018-02-26). 
  8. ^ Vulnerability Assessment Reward Program. [11 March 2014]. (原始内容存档于2014-03-11). 
  9. ^ Reddit - whitehat. Reddit. [30 May 2015]. (原始内容存档于2018-04-12). 
  10. ^ Square bug bounty program. HackerOne. [6 Aug 2014]. (原始内容存档于2018-08-01). 
  11. ^ Microsoft Bounty Programs. Microsoft Bounty Programs. Security TechCenter. [2016-09-02]. (原始内容存档于2013-11-21). 
  12. ^ Zimmerman, Steven. Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program. XDA Developers. 2017-07-26 [2017-08-03]. (原始内容存档于2017-07-27). 
  13. ^ HackerOne. Bug Bounties - Open Source Bug Bounty Programs. [23 March 2020]. (原始内容存档于2018-03-30). 
  14. ^ The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs. Wired. 10 November 2017 [25 May 2018]. (原始内容存档于2023-08-26). 
  15. ^ A Framework for a Vulnerability Disclosure Program for Online Systems. Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. July 2017 [25 May 2018]. (原始内容存档于2023-03-26). 
  16. ^ The first "bug" bounty program. Twitter. 8 July 2017 [5 June 2018]. (原始内容存档于2023-10-25). 
  17. ^ Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0. Internet Archive. [21 Jan 2015]. (原始内容存档于May 1, 1997). 
  18. ^ Bounty attracts bug busters. CNET. 13 June 1997 [17 October 2023]. (原始内容存档于2024-05-10) (英语). 
  19. ^ Friis-Jensen, Esben. The History of Bug Bounty Programs. Cobalt.io. 11 April 2014 [17 October 2023]. (原始内容存档于16 March 2020). 
  20. ^ Zuckerberg's Facebook page hacked to prove security flaw. CNN. 20 August 2013 [17 November 2019]. (原始内容存档于2023-08-26). 
  21. ^ Mills, Elinor. Facebook whitehat Debit card. CNET. [2024-07-24]. (原始内容存档于2020-02-02). 
  22. ^ Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc (PDF). United States Senate. 6 February 2018 [4 June 2018]. (原始内容存档 (PDF)于2018-09-25). 
  23. ^ Uber Tightens Bug Bounty Extortion Policy. Threat Post. 27 April 2018 [4 June 2018]. (原始内容存档于2024-02-27). 
  24. ^ Osborne, Charlie. Yahoo changes bug bounty policy following 't-shirt gate'. ZDNet. [2024-07-24]. (原始内容存档于2017-06-19). 
  25. ^ Martinez, Ramses. So I'm the guy who sent the t-shirt out as a thank you. Yahoo Developer Network. [2 October 2013]. (原始内容存档于2020-11-12). 
  26. ^ Martinez, Ramses. The Bug Bounty Program is Now Live. Yahoo Developer Network. [31 October 2013]. (原始内容存档于2020-02-02). 
  27. ^ 27.0 27.1 Toecker, Michael. More on IntegraXor's Bug Bounty Program. Digital Bond. 23 July 2013 [21 May 2019]. (原始内容存档于2019-05-27). 
  28. ^ 28.0 28.1 Ragan, Steve. SCADA vendor faces public backlash over bug bounty program. CSO. 18 July 2013 [21 May 2019]. (原始内容存档于2020-07-27). 
  29. ^ Rashi, Fahmida Y. SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program. Security Week. 16 July 2013 [21 May 2019]. (原始内容存档于2019-10-01). 
  30. ^ How Zoom handled vulnerability shows the dark side of bug bounty's. ProPrivacy.com. [2023-05-17]. (原始内容存档于2024-02-24) (英语). 
  31. ^ Porup, J. M. Bug bounty platforms buy researcher silence, violate labor laws, critics say. CSO Online. 2020-04-02 [2023-05-17]. (原始内容存档于2023-05-30) (英语). 
  32. ^ The 2019 Hacker Report (PDF). HackerOne. [23 March 2020]. (原始内容存档 (PDF)于2023-08-26). 
  33. ^ Bug hunters aplenty but respect scarce for white hat hackers in India. Factor Daily. 8 February 2018 [4 June 2018]. (原始内容存档于October 22, 2019). 
  34. ^ 34.0 34.1 Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers. Facebook. 11 January 2018 [4 June 2018]. (原始内容存档于2018-03-23). 
  35. ^ Goodin, Dan. Google offers "leet" cash prizes for updates to Linux and other OS software. Ars Technica. 9 October 2013 [11 March 2014]. (原始内容存档于2016-03-12). 
  36. ^ Zalewski, Michal. Going beyond vulnerability rewards. Google Online Security Blog. 9 October 2013 [11 March 2014]. (原始内容存档于2015-09-22). 
  37. ^ Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play. The Verge. 22 October 2017 [4 June 2018]. (原始内容存档于2018-08-15). 
  38. ^ Vulnerability Assessment Reward Program. [23 March 2020]. (原始内容存档于2014-03-11). 
  39. ^ Goodin, Dan. Now there's a bug bounty program for the whole Internet. Ars Technica. 6 November 2013 [11 March 2014]. (原始内容存档于2016-03-11). 
  40. ^ Abdulridha, Alaa. How I hacked Facebook: Part Two. infosecwriteups. 2021-03-18 [2021-03-18]. 
  41. ^ Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure. VentureBeat. 21 July 2017 [4 June 2018]. (原始内容存档于2020-02-02). 
  42. ^ The Internet Bug Bounty. HackerOne. [11 March 2014]. (原始内容存档于2014-03-12). 
  43. ^ DoD Invites Vetted Specialists to 'Hack' the Pentagon. U.S. DEPARTMENT OF DEFENSE. [2016-06-21]. (原始内容存档于2016-03-13). 
  44. ^ Vulnerability disclosure for Hack the Pentagon. HackerOne. [2016-06-21]. (原始内容存档于2016-04-11). 
  45. ^ EU-FOSSA 2 - Bug Bounties Summary (PDF). (原始内容存档 (PDF)于2023-06-02). 
  46. ^ Dutta, Payel. Open Bug Bounty: 100,000 fixed vulnerabilities and ISO 29147. TechWorm. 2018-02-19 [2023-04-10]. (原始内容存档于2024-04-15) (美国英语).