2015年,国内一位黑客发现了世纪佳缘网站的漏洞,经过测试他获取了四千多条信息,于是在去年12月份,这名黑客将漏洞报告给了乌云,通过乌云警告了世纪佳缘。
世纪佳缘在得知这一消息后,向黑客表达了感谢,随后以送礼之名向乌云索要了这名黑客的地址,紧接着就向报警,抓捕了这名帮助网站解决漏洞的黑客。
这起事件造成了非常不好的影响,间接导致了帮助厂商与安全研究者的问题反馈平台——乌云网的关闭,包括网站创始人在内的多名白帽子遭到逮捕。
根据百度百科定义,白帽子描述的是正面的黑客,他们会识别计算机系统或网络系统中的安全漏洞,但是不会去恶意利用,而是公布漏洞,防止被其他黑客恶意利用,帮助厂商更好地维护网络安全。
但是这个行业在国内一直游走于灰色地带,在漏洞公布前,白帽子是否有权利检测别人的漏洞一直是个问号,即便当事人有着高尚的出发点,因此,很多时候白帽子的行为在国内更像是哥谭义警蝙蝠侠——都是吃力不讨好。
不过在互联网发展较早的国外,类似这种事情的管理就比较完善和合理了。国外同样有类似乌云这样连接白帽与企业的漏洞捕捉平台HackerOne,从2013年开始,这个平台就开始向报告漏洞的黑客支付奖金,截至去年9月,支付的总赏金已经超过了1.07亿美金。
当然,这些奖金很多时候都是由因此受益的企业承担。
而近日,V社就在国外一名白帽的帮助下,发现并修复了一个可以刷Steam钱包余额的bug,并因此给了这名白帽7500美元的奖励。
这个bug非常简单,用户只需要将自己的Steam账户电子邮箱地址更改为包含“amount100”的地址,然后点击Steam的钱包充值,使用Smart2Pay平台的任意付款方式付款,拦截Post请求并截取发送到公司的api,通过修改对应字段,就能以1美元的代价充值100美元。
8月9号,drbrix就通过HackerOne平台向V社反馈了这个问题,一开始他将这个bug严重程度标注为中等,而在与V社工作人员取得联系后,V社将其调整为了严重级别,提高了支付给白帽的赏金。
最终这个bug被官方修复,而在一切问题都得到解决后,上面这个反馈报告才被公开,以鼓励更多人积极帮助企业寻找并提供系统漏洞。
回想前一段时间国内多家游戏企业遭到黑客攻击,互联网安全在如今已经是国内企业必须要正视的一个问题,而国外这种对白帽持正面、鼓励的态度,对提升互联网安全来说是有帮助的,仔细想一下,如果Steam的这个漏洞在修复前被他人恶意利用,那么损失的就远远不止7500美元这点了。
去年,拳头公司就通过HakcerOne向外悬赏十万美元,用于查找《Valorant》的反作弊系统漏洞,特别是如今强调数字基建的当下,希望国内互联网公司企业也可以像这些企业一样重视起网络安全问题,为用户创造一个安全舒适的网络环境。
还没有评论,来说两句吧...