2020年十大漏洞賞金項目
責編:gltian |2020-07-13 15:15:06近日,Hackone公布了2020年十大漏洞賞金項目TOP10榜單,該列表基于HackerOne項目目錄中的公共信息,排名依據每家企業在2020年4月(包括之前)向黑客支付的累計賞金總額。
榜單排名具體如下(紅色字體為單項最高或最低數值):
第一名:Verizon Media
行業:數字媒體
總支付賞金:940.8萬美元
最高賞金:7萬美元
答謝黑客:1315名
解決報告問題:5928個
初次響應時間:8小時
獎金支付平均賬期:13天
第二名:Paypal
行業:互聯網金融、支付
總支付賞金:279萬美元
最高賞金:3萬美元
答謝黑客:371名
解決報告問題:755個
初次響應時間:4小時
獎金支付平均賬期:17天
第三名:Uber
行業:互聯網、共享出行
總支付賞金:241.5萬美元
最高賞金:5萬美元
答謝黑客:635名
解決報告問題:1466個
初次響應時間:5小時
獎金支付平均賬期:90天
第四名:英特爾
行業:半導體、芯片制造
總支付賞金:189.7萬美元
最高賞金:未知
答謝黑客:96名
解決報告問題:未知
初次響應時間:未知
獎金支付平均賬期:未知
第五名:Twitter
行業:互聯網、社交媒體
總支付賞金:128.8萬美元
最高賞金:2.016萬美元
答謝黑客:842名
解決報告問題:1160個
初次響應時間:12小時
獎金支付平均賬期:8天
第六名:GitLab
行業:軟件開發
總支付賞金:121.1萬美元
最高賞金:2萬美元
答謝黑客:250名
解決報告問題:581個
初次響應時間:1小時
獎金支付平均賬期:19天
第七名:Mail.ru
行業:互聯網、電子郵件
總支付賞金:111.9萬美元
最高賞金:2萬美元
答謝黑客:973名
解決報告問題:3333個
初次響應時間:5小時
獎金支付平均賬期:17天
第八名:GitHub
行業:軟件開發
總支付賞金:98.7萬美元
最高賞金:2.5萬美元
答謝黑客:310名
解決報告問題:535個
初次響應時間:15小時
獎金支付平均賬期:13天
第九名:Valve
行業:在線游戲、PC游戲平臺
總支付賞金:95.1萬美元
最高賞金:2萬美元
答謝黑客:322名
解決報告問題:589個
初次響應時間:9小時
獎金支付平均賬期:60天
第十名:Airbnb
行業:互聯網、在線旅游、共享房屋出租
總支付賞金:94.4萬美元
最高賞金:1.5萬美元
答謝黑客:353名
解決報告問題:775個
初次響應時間:5小時
獎金支付平均賬期:19天
由于HackOne的榜單僅有排名和基礎數據,以下,安全牛嘗試解讀這份榜單背后的隱含信息和趨勢:
漏洞賞金總額和最高賞金創新高。2020年漏洞賞金項目TOP10企業的總獎金(累計)已經超過2300萬美元,其中Verizon Media已通過HackerOne的平臺向白帽黑客支付了近1000萬美元。
TOP10企業主要集中在互聯網金融、在線游戲、軟件開發、在線旅游、社交媒體幾大領域。這些企業的一個很大共同點就是存儲大量高價值用戶信息,是黑客的熱門攻擊目標,數據泄露和違規事件不但會給平臺自身造成嚴重損失,同時也會波及其他行業。
再次強調漏洞披露的必要性。白帽黑客社區的漏洞披露規則向來是個頗具爭議性的話題。HackerOne首席技術官兼聯合創始人Alex Rice在一封電子郵件聲明中說:“在HackerOne,默認披露是我們的價值觀之一。盡管這不是我們的客戶和黑客的強制性要求,但我們鼓勵每個客戶都考慮一下。通過分享我們容易受到攻擊的地方,其他防御者可以學習,道德黑客可以從中學習,最終我們都更加安全。”
2020年排名發生較大變化。2020年貝寶(PayPal)獎金總額超越了優步(Uber),位居第二,后者降到了第三位。自2018年8月與HackerOne共同發起漏洞賞金計劃以來,Paypal迄今已支付了280萬美元,其中最高獎金為3萬美元(自2012年以來的累計總獎金為600萬美元)。
GitHub和Mail.ru都是今年前10名中的新成員。而GitLab則從2019年的第10位躍升至第6位,1月份支付了100萬美元。
漏洞響應和賞金支付提速。白帽子黑客最喜歡的漏洞賞金計劃通常有三個特征,報告響應迅速、支付金額高、支付速度快。為了吸引更多高水平白帽子黑客關注,TOP10漏洞賞金項目的漏洞響應速度明顯加快,有五家企業的首次響應時間不到5小時,其中Gitlab的響應速度最快,在1小時內。
從數據統計來看,總賞金排名第二的PayPal的首次響應時間為4小時,平均漏洞獎金賬期為17天,在TOP10中排名靠前,綜合表現堪稱標桿。
PayPal的信息安全工程師Ray Duran近日在博客中寫道:“白帽黑客最好的漏洞提交方式很簡單:有據可依,并證明其影響力。精心編寫的報告有助于減少來回的對話,使我們能夠快速進入補救步驟并更快地獲得賞金。”
賞金支付方面,Github、Twitter和Verizon Media的支付賬期最短,能在接到報告后兩周內打款,其中Twitter打款周期最短,只需要8天,顯著高于平均水平。Uber的打款周期最長,平均需要90天,是Twitter的十幾倍。
參考資料:
HackOne 2020年十大漏洞賞金項目排行榜:
https://www.hackerone.com/resources/e-book/top-10-bounty-programs-2020