騰訊科技訊 據外媒報導,根據道德黑客平台Bugcrowd發布的新數據顯示,通過搜索安全漏洞,並在特斯拉等大公司和國防部這樣的組織中報告系統的問題,自由職業黑客中的精英分子每年可以賺逾50萬美元。
Bugcrowd公司成立於2012年,是少數幾家所謂的“漏洞賞金”公司之一,這些公司為黑客提供了一個平台,讓他們在希望接受測試的公司中安全地追蹤安全漏洞。
黑客們為某家公司制定了一份定義明確的合約,當他們能夠在公司的架構中發現一個缺陷時,他們就會得到賞金,而賞金多少取決於問題的嚴重性。
Bugcrowd首席執行官凱西·埃利斯(Casey Ellis)表示,隨著該領域數百萬個職位空缺,各公司正在越來越多地尋找網絡安全測試的替代方案。
據估計,到2021年,可能會有多達350萬個網絡工作崗位空缺。
埃利斯說,去年,該公司為一家大型科技硬體公司發現一項漏洞而獲利11.3萬美元。這也是該公司發現一個漏洞而獲取的最大收益。數據顯示,2018年的支付金同比增長37%。
調查顯示,有一半的道德黑客,或者被雇滲透網絡和電腦系統的安全專家,報告稱都有全職工作。
約80%的人表示,這項努力幫助他們在網絡安全領域找到了一份工作。埃利斯說,對於前50名黑客來說,平均每年在這項工作上的收入約為14.5萬美元。
據埃利斯說,賺最多錢的黑客有一定的基本技能。
“黑客發現了一種特殊的安全漏洞後,就在不同的公司中反覆尋找。他們將走遍網絡空間,努力尋找盡可能多的機會來利用這一漏洞,“埃利斯說。
“他們也有很好的偵察技能,能夠理解有可能對組織造成最大損害的因素。了解企業如何運作,或其基礎設施是如何建設的,對這項工作這真的很有幫助,“他補充說。
雖然Bugcrowd中94%的黑客年齡在18歲到44歲之間,但仍有幾個人還在讀高中或中學。埃利斯說,進入公司的門檻很低,主要看技能水準。該平台上大約四分之一的黑客沒有大學學位。
公司想找出安全漏洞
為了防範網絡攻擊,公司一直在使用一系列方法,讓擁有黑客技能的人測試他們的防禦能力。一些公司使用內部滲透測試人員,經常把他們放在所謂的“紅隊”中,扮演惡意團體角色,以試圖摧毀公司伺服器或竊取資訊。
其他公司則使用提供這項服務的谘詢公司,或者像Bugcrowd、HackerOne、Synack和Cobalt這樣的根據查找漏洞來發賞金的公司。或者,只要任何人能發現問題,只需向公司發送電子郵件即可。
埃利斯說,根據漏洞發賞金提供了一種更正式的方法,黑客必須遵守規則,例如不能從伺服器跳到其他具有更敏感數據的伺服器上進行測試。
IJET和特斯拉會根據黑客發現的問題的嚴重程度,向黑客支付1000至1.5萬美元的賞金。萬事達卡最多向黑客支付過3000美元。
今年10月,美國國防部將“入侵五角大樓”(Hack the Pentagon)獎項授予 Bugcrowd和HackerOne,以表彰他們的眾包項目。(騰訊科技審校/羽佳)
香港九龍灣馬來街興發大廈15樓D室