幫助特斯拉找漏洞 自由黑客年賺50萬美元

　　據外媒報道，道德黑客平臺Bugcrowd發布的新數據顯示，自由職業精英黑客幫助特斯拉等大公司和國防部等政府機構尋找和報告安全漏洞，每年可以賺逾50萬美元。

　　Bugcrowd公司成立于2012年，是少數幾家所謂的“捉蟲賞金”公司之一。這些公司為黑客們提供了一個施展才華的平臺，讓他們為需要測試安全的公司尋找安全漏洞。

　　黑客們與特定的公司簽署明確的合同，幫助這些公司尋找安全漏洞，一旦他們在這些公司的基礎設施中發現漏洞，他們就會得到賞金。他們的酬勞多少取決于安全漏洞的嚴重性。

　　Bugcrowd公司首席執行官凱西o埃利斯(Casey Ellis)表示，由于網絡安全領域存在數百萬個空缺職位，因此很多公司越來越多傾向于雇用安全專家來測試網絡安全。據估計，到2021年，網絡安全行業可能會有多達350萬個空缺崗位。

　　埃利斯稱，去年，該公司為一個安全漏洞支付了最大一筆酬勞11.3萬美元，這是在一家大型科技硬件公司中發現的漏洞。相關數據顯示，在2018年，這方面的支出額同比增長37%。

　　這項調查顯示，有一半的道德黑客——被公司雇用來代表它攻擊其網絡和計算機系統的安全專家——表示，他們有全職工作。約80%的人表示，他們的技能幫助他們在網絡安全領域找到了一份工作。埃利斯說，對于前50名黑客來說，平均每年支出的酬勞約為14.5萬美元。

　　據埃利斯說，賺錢最多的黑客具有某些必要的技能。

　　“他們會發現某種特定的安全漏洞，然后在不同的公司中利用這個漏洞。他們還會在整個網絡空間尋找盡可能多的機會來利用這個漏洞。”埃利斯說。

　　“他們還有很好的偵察技能，能夠了解什么漏洞可能對一個組織造成最大的破壞，并據此進行相關的操作。了解企業如何運作，或其基礎設施是如何建設的，這真的很有幫助。”他補充說。

　　雖然Bugcrowd公司中有94%的賞金獵手年齡在18歲到44歲之間，但是還有一些人仍然在讀高中或初學。埃利斯說，進入這個行業的成本很低，主要看技能。該平臺上有大約四分之一的黑客沒有大學學位。

　　為了防止遭到網絡攻擊，很多公司讓擁有黑客技能的人來測試它們的安全防御能力。一些公司使用自己內部的安全測試人員，通常將他們放在所謂的紅隊中，扮演試圖惡意摧毀公司服務器或竊取信息的角色。

　　另一些公司則使用提供這項服務的咨詢公司，或者像Bugcrowd、HackerOne、Synack和Cobalt這樣的捉蟲賞金公司。或者，他們只是提供一個向其報告安全漏洞的電子郵件，讓任何發現安全漏洞的人與他們聯系。

　　埃利斯稱，捉蟲賞金計劃提供了一種更正規的途徑，黑客必須遵守相應的規則，例如不能從被測試的服務器跳到其他存有更敏感數據的服務器。

　　IJet公司和特斯拉會根據每個安全漏洞的嚴重程度向黑客支付1000至1.5萬美元的酬勞。萬事達則就黑客發現的安全漏洞向他們支付最高3000美元的酬勞。今年10月，美國國防部將“攻擊五角大樓”合同授予了Bugcrowd和HackerOne公司。