白帽黑客:大数据时代下的赏金猎人(2)
时间:2023-03-10 20:10 来源:网络整理 作者:默认发布 点击:次
最小气的行业 汽车行业在过去一年共支付了483809美元的漏洞赏金,是HackerOne追踪的八个行业中最少的。 互联网部门去年共支付了1310万美元,电信行业支付了470万美元,甚至连政府给的都比汽车公司多,达到了703084美元。 根据HackerOne的一份报告显示,汽车行业平均每次漏洞检查的奖金略高于2000美元。例如,Stellantis与Bugcrowd公司合作,为每个发现的漏洞支付150美元至7500美元不等,在2022年12月-2023年2月期间,平均一次漏洞审查支付的奖金仅为737.5美元。
而汽车行业之外的数字呢? 根据新闻网站SecurityWeek报道,2月份在迈阿密举行的探索工业网络漏洞的会议上,黑客们每发现一个漏洞能获得5000美元至4万美元奖金。 谷歌公司发言人埃德·费尔南德斯(Ed Fernandez)在一封电子邮件中说,2022年,该公司支付的赏金中包括了一笔创纪录的60.5万美元。英特尔公司发言人珍妮弗·福斯(Jennifer Foss)说,自2017年以来,英特尔通过其漏洞赏金计划共支付了410万美元。 在这样悬殊的对比之下,白帽黑客们当然会出现不满,他们中的一些人希望汽车行业加大赏金力度。 2022年底,佛罗里达州萨拉索塔市的黑客伊顿·兹韦雷(Eaton Zveare)攻破了丰田公司的全球供应商管理门户网站,获得了对1.4万个公司电子邮件账户的读写权限、相关的机密文件、项目、供应商排名、评论和其他信息。他通知了丰田,这一问题很快得到了处理。 兹韦雷对丰田的迅速反应十分认可,但他对缺乏金钱补偿感到失望。 他说:“考虑到他们每年赚取的利润,我认为,他们应该拨出一些给安全部门,用来奖励研究人员。” 佛罗里达州清水市网络安全咨询和培训公司KnowBe4的网络安全顾问罗杰·格莱姆斯(Roger Grimes)表示,如果汽车制造商希望安全研究人员帮助寻找缺陷,他们需要提供足够的奖励。 他说:“要找聪明人来帮助你寻找和消除漏洞,但是不愿意花钱,这是非常愚蠢的行为。”
如果长期吝啬下去,白帽黑客可能会感到气馁,并将他们的努力转向有高回报的行业。更糟糕的是,他们或许会将自己的技能卖给针对汽车行业的意图不轨的人。 格莱姆斯预计,黑客攻击将成为汽车制造商们需要长期处理的问题,迫使他们反复检测,反复改进,确保安全和防盗系统尽可能地完美。 HackerOne首席安全技术专家凯拉·恩德科勒(Kayla Underkoffler)在一封电子邮件中说:“汽车是日常生活中的一个重要组成部分,如果安全问题没有经过一次又一次的测试,后果可能是灾难性的,我们需要最好的头脑来研究解决方案。” (责任编辑:admin) |
