幫忙找系統漏洞,企業對白帽駭客祭天價獎勵金

作者 | 發布日期 2020 年 01 月 21 日 11:52 | 分類 網路 , 資訊安全 follow us in feedly


網路已經成為人類生活的另一個實體空間,因此網路安全性愈來愈受重視。現在包括 Google、蘋果與特斯拉等企業正向白帽駭客提供高達百萬美元以上的獎勵,希望藉由他們的技術能力,幫忙發現系統漏洞,但日本企業在這方面觀念卻相當落伍。

據日經新聞報導,愈來愈多企業認為給白帽或道德駭客的慷慨獎勵,比冒著遭受網路攻擊的風險來得便宜。美國 HackerOne 數據指出,全球尋找網路漏洞的平均獎勵兩年內增加 70%。

許多歐美公司積極尋求與白帽合作者合作。如 Google 去年 11 月底宣布支付發現 Android 設備遠端控制漏洞的駭客從 20 萬美元提高到最高 150 萬美元,是公開承諾提供獎勵金的企業最高的。

蘋果則將獎金從 20 萬美元提高到 100 萬美元。特斯拉和飛雅特克萊斯勒汽車分別提供 1.5 萬美元和 7,500 美元,而星巴克最高提供 4 千美元。亞洲公司也參與這趨勢,新加坡叫車應用程式 Grab 提供 1 萬美元獎勵金。

除了獎勵金,特斯拉還大力贊助全球駭客競賽,包括趨勢科技在溫哥華舉辦的 Pwn2Own,特斯拉向駭客下戰帖,只要能破解 Model 3 的系統,就可拿到總金額超過 100 萬美元現金和其他獎品,包括全新 Model 3。獎勵分為不同等級,具體取決於駭客的難度等級,最高 50 萬美元。

雖然 100 萬美元看起來是筆不小的數目,但與汽車製造商其中一輛車出現重大安全漏洞而必須付出的成本相比,獎勵金划算得多。隨著汽車愈來愈依賴電腦系統,駭客的協助愈來愈重要,除了辨識潛在威脅,像這類競爭還可幫助特斯拉解決需要改進的系統區域。

相較美國企業的積極動作,日本企業顯得落伍許多。日經新聞報導指出,像有外部駭客發現豐田網站錯誤,豐田沒有提供金錢獎勵,只說了一聲謝謝。NEC 和富士通等科技公司也沒有針對白帽駭客的獎勵計劃。分析認為,這個差別在於文化,因為日本公司不願意承認自己有問題。

(首圖來源:Flickr/Dennis Skley CC BY 2.0)