2011年,两个20岁出头的荷兰黑客列了100家他们打算黑掉的高科技公司。不久之后,他们就发现了Facebook、Google、苹果、微软、Twitter以及其他95家公司系统上的安全漏洞。他们把自己这个清单叫做Hack100。当他们就此警告这些公司的高管时,有三分之一的人选择了忽略警告,另有三分之一的人简单地感谢了他们,但从来没有去修复漏洞,剩下的则赶着去把漏洞给修复了。由于心怀对两位黑客的感激,没有人去报警。
现在,这两位黑客——MichielPrins和JobertAbma——成为了一家旧金山初创企业的四位创始人之一,这家公司致力于为那些有网络安全问题的企业和像他们一样的黑客之间的桥梁,这些黑客是来解决系统安全问题的,而不是来搞破坏的。他们希望这家叫HackerOne的公司能说服其他黑客负责任地报告安全漏洞,而不是利用它们,公司会让这些“白帽黑客”和那些愿意为他们发现的漏洞支付赏金的公司对接起来。
2014年,这家创业公司已经说服了包括雅虎、Square和Twitter在内的知名科技公司,以及一些你可能永远想不到的公司(比如银行和石油公司)应用他们的服务。他们已经向风投资本家们证明,现在支持网络运行的设备有几十亿台,存在缺陷在所难免,因此HackerOne的服务有可能会非常赚钱。对于每一笔通过HackerOne支付的赏金,HackerOne平台会抽取20%的佣金。
“所有公司都会使用这项服务,”为HackerOne投资了900万美元的Benchmark公司合伙人BillGurley说。“不用它是很愚蠢的。”
这种变相的“漏洞发现奖励计划(moderatedbugbountyprograms)”采取的是现在流行的反向刺激模式(moderatedbugbountyprograms)。根据企业系统漏洞的严重程度,发现漏洞的黑客可以通过把漏洞信息卖给罪犯或者政府拿到数十万美元的回报,而这些漏洞则被保存在了网络武器库里,往往永远都得不到修复。而如果黑客把漏洞报告给企业、让企业去修复这些漏洞,他们则常常被忽视,或者受到要被投进监狱的威胁。
大体上讲,有能力修复互联网安全问题的人更有理由把互联网的漏洞留在那里,任由其受到攻击。
“我们想让这件事情变得容易,以后那些有能力的黑客能收到回报,从而让他们有一个受保护的、可靠的职业,”HackerOne的首席政策官KatieMoussouris说。漏洞发现奖励计划是他首先在微软实行起来的。“现在,我们是保持中立的。”
Prins,Abma和住在硅谷的荷兰企业家MerijnTerheggen一起创办了HackerOne。在他们建立起Hack100清单,并发邮件警告Facebook的首席执行官SherylSandberg说网站存在一个漏洞的过程中,他们遇到了公司的第四位联合创始人。Sandberg不只感谢了他们,而且把他们的信打出来交给了Facebook当时的产品安全主管AlexRice,让他修复漏洞。Rice请了这几位黑客共进午餐,并和他们一起解决了那个问题,然后支付了4000美元的赏金。一年后,Rice加入了HackerOne。
“所有技术都有漏洞,如果你没有一个公开的渠道让负责任的黑客报告这些漏洞,那你就会在通过黑市发起的网络攻击中和他们照面,”Rice说。“而这是不可接受的。”
众所周知,网络罪犯们一直都在扫描企业系统的薄弱之处,以及那些正在收集这些漏洞的政府机构。网络罪犯会利用空调服务中的此类漏洞,侵入目标企业的支付系统。而这些漏洞对政府的监护行为来说非常致命,而且会成为像Stuxnet工业蠕虫病毒这样的互联网武器的关键部分。Stuxnet是美国和以色列联合开发的一种电脑蠕虫病毒,它利用了数个漏洞,发现并破坏了一家伊朗核设施的铀离心机。
政府网络武器库的漏洞是如此关键,以至于一家美国政府机构向一名黑客支付了100万美元,就为了获得一个苹果iOS操作系统中的漏洞信息。苹果公司在知晓并修复这个漏洞之后,可能不会给他一分钱,而另一家公司可能已经报警了。
漏洞发现奖励是为了推动黑客修复漏洞,并回报那些永远不泄漏漏洞的黑客——而这也正是HackerOne想要改变的地方。
5年前,当Google开始向黑客支付3133.7美元来购买漏洞信息之后,科技公司开始回报黑客(31337是黑客界表示“精英”的行话)。自那以后,Google支付的最高单笔奖励高达15万美元,支付给黑客的总奖金也已经超过了400万美元。Rice和Moussouris则在Facebook和微软分别尝试了漏洞发现奖励计划。
其他人则发现,只是简单地给黑客荣誉上的奖励,或者给他们送一些小玩意儿,已经没有用了。雅虎的安全主管RamsesMartinez说,在两个黑客批评雅虎公司拿T恤换4个价值数千美元的漏洞以后,他在2013年启动了雅虎的漏洞发现奖励计划。现在Martinez说,他认为漏洞奖励是件“不用动脑筋的事”。
“既然那么大、那么知名的公司都采用了这种方式,那么关于这种计划的许多担忧也就被打消了,”他说。
但大部分公司还是不会为黑客的发现付钱,其中就包括了苹果公司——今年到现在,它已经出现了大约100个安全漏洞,一些漏洞非常严重,可以让攻击者劫持用户的密码。当然,苹果公司一个漏洞的市价已经高达50万美元,这相当于微软支付给黑客的所有的奖金,所以苹果公司的奖金要想赶上市场价格,那得非常非常高才行。
“许多公司都有黑客,它们只是不知道而已,”HackerOne的首席执行官Terheggen说,“坏人就在那儿,除非你邀请,否则好人是不会现身的。”
HackerOne是个18岁的黑客,他说,13岁的时候,他在好奇心的驱使下开始入侵PayPal和Facebook这样的服务。他在PayPal发现了10个漏洞,在Facebook发现了一个漏洞,这些漏洞让他挣到了将近5000美元。他一直坚持寻找漏洞,并且已经在HackerOne上发现了26家公司系统存在的漏洞,光赏金就赚了4万多美元。
他也知道自己还有别的选择。一个政府的中间人曾经提议为Wordpress博客平台中的一个简单漏洞付给他3000美元,并说更严重的漏洞给的钱更多。但他拒绝了。“你不知道他们会如何利用这个漏洞,或者都有谁会利用它,”Beg说。他还说,中间人想让黑客永远不要告诉别人他们发现的漏洞,这其实是减少了发现漏洞这个过程中的一部分乐趣。
HackerOne上汇聚了大约1500名黑客。他们已经修复了大约9000个漏洞,共收到300多万美元赏金。对于刚刚开始考虑支付漏洞发现奖金的公司来说,HackerOne是一个汇集了声誉良好的黑客的平台,并且还帮助它们处理了整个过程里的文书工作,比如报税和支付。
HackerOne并不是唯一一家做这个业务的公司。它还要和创立了这种奖励计划的Facebook、微软和Google展开竞争(公司创始人也出自这些企业,HackerOne的顾问ChrisEvans也是Google的漏洞发现奖励计划的开创者。)一些公司,比如联合航空(UnitedAirlines),最近也启动了自己的漏洞发现奖励计划。一位安全研究人员在Twitter上发消息,公布了联合航空飞机机上Wifi系统存在的一个漏洞,并且告诉FBI说他已经在坐飞机的时候仔细查看了飞机的网络。随后,联合航空开始给发现漏洞的黑客赠送免费的常旅客优惠里程。
HackerOne的竞争对手还有Bugcrowd,它是一家类似的创业公司,向公司收取年费,帮助它们管理漏洞发现奖励计划。Bugcrowd的客户都是些年轻的公司,比如Pinterest,还有像西联汇款这样的机构。
HackerOne和它的竞争对手们可能会在未来的几个月里面临一个重大的监管障碍。政府正在考虑对《瓦森纳协定(WassenaarArrangement)》进行修改——它是由41国在20年前签署的一个出口管制协定,签署国包括俄罗斯、一些欧洲国家和美国,它要求研究人员在向签署国以外国家的公司递交漏洞信息之前,必须得到相关国家政府的许可。
“政府可能不会在乎严重性较低的问题,但关键的漏洞可就是另一回事了,”Bugcrowd负责安全运营的高级总监KymberleePrice说,“对于研究人员是否可以把漏洞信息告诉花旗银行这件事,我们真的该让俄罗斯政府参与决定吗?”