什么样的漏洞买得起北京二环一套房？

谷歌从 2010 年推出 Bug 赏金计划以来，它已发放了逾 600 万美元奖金。2016年，谷歌向用户推送了 51.0.2704.79版 Chrome。该版本总共修复了15个安全漏洞及其他一些系统漏洞。在这 15 个漏洞中，其中有2个为高级别，它们能让攻击者绕过浏览器的跨源代码执行限制并通过 Blink 引擎及其扩展组件在上面运行恶意代码。谷歌为发现这 2 个漏洞的安全研究员提供了 7.5 万美元的奖金。此外，还有 5 个安全漏洞为中等级别，它们的奖金从 1000 美元到 4000 美元不等。

这里有个小故事。安全研究员桑美韦德 在2015年 发现谷歌域名 Google.com 尚未注册，于是花费12美元成功买下了这个域名。谷歌原计划给他奖励 6006.13 美元（这个数字看起来与谷歌的拼写很像），这个都不算漏洞，但也在奖励计划内，而且，当该公司发现韦德准备将这笔奖金捐给慈善机构时，它将奖励金额提高了一倍。

苹果公司就更土豪了。

2016年，苹果表示，将向发现软件产品漏洞的相关人员提供最高 20 万美元的奖励。比如，发现安全引导固件组件类漏洞即可获得最高 20 万美元奖励，而那些小修小补，像发现从沙箱进程可访问沙箱以外的用户数据的错误则最多可获得 25000 美元的奖励。

2016年，Facebook 给来自佐治亚理工学院的研究人员颁发了10 万美金，用于奖励后者发现了一种基于浏览器可让内存崩溃的新类别漏洞，同时他们还建立了对应的检测技术。

有了这些互联网巨头在前，不少公司也跟上对漏洞发现者“大大有赏”。比如，口令安全公司 1Password将其漏洞奖励最高奖金从25000 美元提升到了100000 美元。其博客上称，奖金数额的增加，是为了进一步激励研究人员。

国内，各大公司的 SRC 也有漏洞激励计划，不过在奖励金额相对而言没有国外大厂这么多。

某业内人士向小编表示：“据说，腾讯安全应急响应中心（TSRC）每年预算是几百万，包含各类奖金，每年都会有年会，漏洞之王也有十几万元的奖励。蚂蚁金服安全应急响应中心（AFSRC） 对单个漏洞有奖励过最高的 36万。反正，我知道好几个黑客在家专门挖洞，把工作辞职了。”

到底一个漏洞能拿到多少奖励？小李从侧面了解到，这些漏洞奖金的具体数额除了厂商知、黑客知，官方不会刻意具体公开，有些还会签署保密协议。比如，苹果曾在 2016 年搞过一次“鸿门宴”，召集了全球他们看得上的一些 iOS 系统破解人员来聊奖励的事，据一些参加了此次会议的中国黑客向小编透露，这次就签署了保密协定。当然，在一些新闻稿和黑客的社交账号内，也不排除人家会“晒晒晒”。

除了很多大型的科技公司都有自己的漏洞发现奖励制度，如 HackerOne 这种漏洞平台，企业可以在上面花钱找黑客攻击自己，然后发现漏洞。漏洞越大，企业支付的费用越高。

据说，HackerOne 会赚取费用的 20%，剩下的就是黑客自己的佣金。

HackerOne 创始人Abma 曾在 2016 年在接受猎云网的采访时说：“每发现一个有价值的软件漏洞，客户公司就会为此支付 500 美元到 1000 美元不等。有一些黑客每年能赚 20 万美元，大约有 20 个人每年能赚 10 万美元。我知道有人今年的个人目标是 50 万美元，我相信他可以做到的。”

阿里云云盾先知平台白帽子贡献排行榜排名第一的白帽子Gr36_从 2016 年开始在先知平台活跃，也在国内其他众测平台“挖洞”，Gr36_ 在先知平台已经累计拿到285950 元的奖金。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!