Facebook向黑客悬赏“买”漏洞

当马克·扎克伯格(Mark Zuckerberg)在Facebook上市文件的附文中写道要把Facebook打造为一家对黑客友好的公司时，他意指更多。

据Facebook安全响应团队主管赖安·麦克吉汗(Ryan McGeehan)称，Facebook已经向发现其网站漏洞并帮助修复的黑客们支付了超过30万美元的金额。5月初，麦克吉汗在美国知名问答网站Quora上的一篇帖子中透露，Facebook的漏洞奖金项目自去年7月启动以来，已经向27个国家的131名黑客支付了奖金，还聘请了其中一位作为暑期实习生。该项目通常为每个报告给Facebook安全团队的漏洞支付大约1,000美元的奖金。

“奖金是对公司责任披露政策(该政策已存在多年)的强调，”麦克吉汗写道，“根据漏洞奖金项目提供的数据，我们已经做了几次全网改进，整体来说这个项目是具有成本效益的，并合理地报答了研究者。 通常情况下，我们支付的比最低奖金(500美元)多很多，并且在很多情况下，对这个为Facebook做出贡献并日益全球化的研究者群体增加投入变得越来越有意义。”

Facebook的“白帽”("White Hat")借记卡，用于向漏洞发现者发放奖金

Facebook通常通过寄给黑客的“白帽”借记卡来支付奖金，如左上图所示。

Facebook 所支付的30万美元奖金比谷歌(Google)还有些差距。今年2月谷歌(Google)宣布其漏洞奖金项目开设的第一年就支付了41万美元。但这显示了Facebook在向黑客的付费比率上逐渐向谷歌靠拢，并表明科技公司越来越愿意花大价钱来寻找自身的安全漏洞，以免被没那么仁慈的黑客们抢先一步。

4月份，谷歌将举报其网站服务中一个漏洞的最高奖金数额突然上调到2万美元，比之前的最高奖金3,133.70美元(黑客所谓的“精英”级)增加了5倍多。去年3月谷歌举办的Pwnium黑客大赛中，谷歌向两位攻破Chrome浏览器的黑客支付了6万美元奖金，奖金力度空前。

即便如此，Facebook与谷歌对漏洞信息的悬赏可能还不能与黑市相比。在黑市上出售漏洞获利更多，这些漏洞被用作真正的黑客攻击而非防御性修复。今年3月，法国安全公司Vupen和一位代理黑客“The Grugq”的漏洞经纪人，纷纷告诉我谷歌的奖金与一些政府机构的出价相比是多么的相形见绌。这些政府机构也需要同样的信息，目的是暗中监视用户的电脑。

但是在Quora网站麦克吉汗的帖子中，他认为Facebook的漏洞奖金激励了黑客出卖以监视或犯罪为目的的漏洞买家，有时也会窃取其他黑客发现的漏洞并将其卖给Facebook, 让Facebook有机会在黑客们作出实质性破坏之前修复漏洞。

“我们知道一直以来坏家伙们总是相互出卖，”麦克吉汗写道，“他们彼此间频繁相互窃取漏洞并偷偷报告给我们来换取奖金。更有卑劣者，他们会在黑市上‘出售’漏洞，然后跑来向我们举报漏洞，两面赚钱。当买家抱怨漏洞正在修复时，出售漏洞的黑客会装作一无所知并声称是Facebook自己发现并修补了漏洞。我们的项目由于提供了奖金激励使得漏洞更难长时间的逍遥在外。”

“自从我们的奖励项目启动，缩小‘黑帽子黑客市场’的生存空间已经成了一件我所热衷的事。”他补充说道。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友