自由職業精英黑客賺得多 幫人找漏洞年入50萬美元

據美國媒體報道，安全漏洞懸賞平台Bugcrowd發布的最新數據顯示，通過為特斯拉等公司和美國國防部等組織查找安全漏洞並報告所查找出的問題，自由職業型的精英黑客每年能夠獲得超過50萬美元的收入。

於2012年在舊金山成立的Bugcrowd，是為客戶查找和報告軟體安全漏洞的少數幾家所謂的「漏洞懸賞」公司之一。這些公司為黑客提供了一個平台，讓黑客安全地對那些希望接受測試的公司的軟體進行安全漏洞追蹤。

黑客按照合同為特定的公司工作，當他們在該特定公司的基礎設施中發現缺陷時，就會獲得支付的賞金。他們獲得支付賞金的多少，取決於所發現漏洞的嚴重程度。

Bugcrowd首席執行官凱西·埃利斯(Casey Ellis)表示，由於軟體安全領域崗位短缺數百萬之多，越來越多的公司在尋找網路安全測試的替代方案。據估計，到2021年，可能會有350萬個網路安全工作崗位空缺。

埃利斯表示，Bugcrowd公司去年的所經歷的最大一筆支付賞金為11.3萬美元，是為一家大型科技硬體公司查找出一個漏洞。數據顯示，2018年這樣的懸賞金支付同比增長了37%。

從事這樣工作的這個群體被稱為「道德黑客」（ethical hackers），他們被安全專家僱用來對企業或機構的網路和計算機系統的安全程度進行檢測。調查顯示，有一半的道德黑客都有全職工作。大約80%的人說，這項努力幫助他們在網路安全領域找到了一份工作。埃利斯稱，排名前50的黑客年平均獲得約14.5萬美元的賞金支付。

據埃利斯稱，賺錢最多的那些黑客都擁有過硬的基本技能。

埃利斯表示，「當他們發現一個特殊的漏洞類別，他們就會不斷地在不同的公司追蹤這個漏洞。他們會在網路空間里到處尋找機會，盡他們所能地利用這個漏洞。」

他還表示，「他們也有很好的偵察技能，知道什麼將可能會對企業或機構造成最大損害，並且在此基礎上進行操作。對企業如何運作或如何建設基礎設施有很好的了解，這是非常有幫助的。」

圍繞Bugcrowd平台工作的這類黑客，其中94%的年齡在18歲到44歲之間，而一部分人還在上高中或中學。埃利斯說，接受這樣工作的成本很低，必須具有技能。Bugcrowd平台上大約四分之一的黑客，沒有大學學位。

為了防止網路攻擊，一些公司一直在使用一系列的方法，讓擁有黑客技能的人對自己公司的防禦能力進行測試。例如，有的公司讓內部的安全測試人員充當所謂的「紅客」，扮演惡意攻擊角色，試圖摧毀公司伺服器或竊取信息。以此方法檢測網路安全性。

一些公司則求助於能夠提供這類服務的第三方諮詢公司，這樣的第三方諮詢公司或叫漏洞懸賞公司，如Bugcrowd、HackerOne、Synack和Cobalt。還有一些公司只是通過電子郵件，與那些擁有安全漏洞發現能力的人進行聯繫。

埃利斯表示，漏洞懸賞方法提供了一種更加正式的方式。黑客工作時必須遵守規則，比如不要從被測試的伺服器跳到其他具有敏感數據的伺服器。

根據發現的問題的嚴重程度，IJet和特斯拉向黑客支付的報酬在1萬美元至1.5萬美元之間。萬事達卡（MasterCard）最多支付3000美元。今年10月份，美國國防部將漏洞賞金項目「入侵五角大樓」（Hack the Pentagon）合同，授予了Bugcrowd和HackerOne。（天門山）

【來源：網易科技報道】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！