報告稱無業(yè)黑客最高能年賺50萬美元 靠測試漏洞賺賞金

　　據(jù)外媒報道，根據(jù)道德黑客平臺Bugcrowd發(fā)布的新數(shù)據(jù)顯示，通過搜索安全漏洞，并在特斯拉等大公司和國防部這樣的組織中報告系統(tǒng)的問題，自由職業(yè)黑客中的精英分子每年可以賺逾50萬美元。

　　Bugcrowd公司成立于2012年，是少數(shù)幾家所謂的“漏洞賞金”公司之一，這些公司為黑客提供了一個平臺，讓他們在希望接受測試的公司中安全地追蹤安全漏洞。

　　黑客們?yōu)槟臣夜�司制定了一份定義明確的合同，當(dāng)他們能夠在公司的架構(gòu)中發(fā)現(xiàn)一個缺陷時，他們就會得到賞金，而賞金多少取決于問題的嚴(yán)重性。

　　Bugcrowd首席執(zhí)行官凱西·埃利斯(Casey Ellis)表示，隨著該領(lǐng)域數(shù)百萬個職位空缺，各公司正在越來越多地尋找網(wǎng)絡(luò)安全測試的替代方案。

　　據(jù)估計，到2021年，可能會有多達(dá)350萬個網(wǎng)絡(luò)工作崗位空缺。

　　埃利斯說，去年，該公司為一家大型科技硬件公司發(fā)現(xiàn)一項(xiàng)漏洞而獲利11.3萬美元。這也是該公司發(fā)現(xiàn)一個漏洞而獲取的最大收益。數(shù)據(jù)顯示，2018年的支付金同比增長37%。

　　調(diào)查顯示，有一半的道德黑客，或者被雇滲透網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的安全專家，報告稱都有全職工作。

　　約80%的人表示，這項(xiàng)努力幫助他們在網(wǎng)絡(luò)安全領(lǐng)域找到了一份工作。埃利斯說，對于前50名黑客來說，平均每年在這項(xiàng)工作上的收入約為14.5萬美元。

　　據(jù)埃利斯說，賺最多錢的黑客有一定的基本技能。

　　“黑客發(fā)現(xiàn)了一種特殊的安全漏洞后，就在不同的公司中反復(fù)尋找。他們將走遍網(wǎng)絡(luò)空間，努力尋找盡可能多的機(jī)會來利用這一漏洞，“埃利斯說。

　　“他們也有很好的偵察技能，能夠理解有可能對組織造成最大損害的因素。了解企業(yè)如何運(yùn)作，或其基礎(chǔ)設(shè)施是如何建設(shè)的，對這項(xiàng)工作這真的很有幫助，“他補(bǔ)充說。

　　雖然Bugcrowd中94%的黑客年齡在18歲到44歲之間，但仍有幾個人還在讀高中或中學(xué)。埃利斯說，進(jìn)入公司的門檻很低，主要看技能水平。該平臺上大約四分之一的黑客沒有大學(xué)學(xué)位。

　　公司想找出安全漏洞

　　為了防范網(wǎng)絡(luò)攻擊，公司一直在使用一系列方法，讓擁有黑客技能的人測試他們的防御能力。一些公司使用內(nèi)部滲透測試人員，經(jīng)常把他們放在所謂的“紅隊(duì)”中，扮演惡意團(tuán)體角色，以試圖摧毀公司服務(wù)器或竊取信息。

　　其他公司則使用提供這項(xiàng)服務(wù)的咨詢公司，或者像Bugcrowd、HackerOne、Synack和Cobalt這樣的根據(jù)查找漏洞來發(fā)賞金的公司。或者，只要任何人能發(fā)現(xiàn)問題，只需向公司發(fā)送電子郵件即可。

　　埃利斯說，根據(jù)漏洞發(fā)賞金提供了一種更正式的方法，黑客必須遵守規(guī)則，例如不能從服務(wù)器跳到其他具有更敏感數(shù)據(jù)的服務(wù)器上進(jìn)行測試。

　　IJET和特斯拉會根據(jù)黑客發(fā)現(xiàn)的問題的嚴(yán)重程度，向黑客支付1000至1.5萬美元的賞金。萬事達(dá)卡最多向黑客支付過3000美元。

　　今年10月，美國國防部將“入侵五角大樓”(Hack the Pentagon)獎項(xiàng)授予 Bugcrowd和HackerOne，以表彰他們的眾包項(xiàng)目。