近日,Hackone公布了2020年十大漏洞赏金项目TOP10名单。包括之前)累计支付给黑客的赏金总额。榜单排名如下(红色字体为单项价值最高或最低):第一名:VerizonMedia行业:DigitalMedia5928第一响应时间:8小时奖金支付平均支付周期:13天第二地点:Paypal行业:互联网金融,支付:755初始响应时间:4小时奖金支付平均支付周期:17天第三名:Uber行业:互联网,共享出行问题:1466首次响应时间:5小时奖励平均支付周期:90天第四名:英特尔行业:半导体、芯片制造:未知第一响应时间:未知奖金支付平均计费周期:未知第五名:Twitter行业:互联网、社交媒体第一响应时间:12小时平均奖金支付周期:8天数第六名:GitLab行业:软件开发第一响应时间:平均1小时赏金支付周期:19天第七名:Mail.ru行业:互联网,电子邮件:3333初始响应时间:平均5小时赏金支付周期:17天第八名:GitHub行业:软件开发支付的赏金总额:98.7万美元535初始响应时间:15小时平均奖金支付周期:13天第九名:Valve行业:网络游戏、PC游戏平台支付的总赏金:951,000美元最高赏金:20,000美元感谢黑客:322已解决报告问题:589第一响应时间:9小时赏金支付的平均计费周期:60天第十名:Airbnb行业:互联网、在线旅游、共享房屋租赁总赏金支付:944,000美元最高赏金:15,000美元感谢黑客:353已解决的报告问题:775初始响应时间:5小时赏金支付的平均计费周期:19天感谢HackOne的列表只有排名和基本数据。下面,安全牛试图解读这份榜单背后隐藏的信息和趋势:漏洞赏金总量和最高奖励均创历史新高。2020年TOP10漏洞赏金项目的总奖金(累计)已超过2300万美元,其中VerizonMedia通过HackerOne的平台向白帽黑客支付了近1000万美元。TOP10企业主要集中在互联网金融、网络游戏、软件开发、在线旅游、社交媒体等领域。这些公司的一个共同点是,他们存储了大量高价值的用户信息,这些信息是黑客的热门目标。数据泄露和违规行为不仅会给平台自身造成严重损失,还会波及其他行业。再次强调漏洞披露的必要性。白帽黑客社区中的漏洞披露规则一直是一个有争议的话题。HackerOne首席技术官兼联合创始人AlexRice在一份电子邮件声明中表示:“在HackerOne,默认披露是我们的价值观之一。虽然这对我们的客户和黑客来说不是强制性的,但我们鼓励每个客户都考虑一下。通过分享我们的弱点,其他防御者可以学习,道德黑客可以从中学习,最终我们都更加安全。”2020年的排名变化很大。2020年,PayPal的总奖金超过优步,排名第二,后者跌至第三位。自2018年8月与HackerOne一起启动漏洞赏金计划以来,Paypal迄今已支付280万美元,其中包括30,000美元的最高奖金(自2012年以来累计支付600万美元)。GitHub和Mail.ru都是今年前10名的新成员。GitLab从2019年的第10位跃升至第6位,1月份支付了100万美元。加快错误响应和赏金支付。白帽黑客青睐的漏洞赏金计划通常具有三个特点,响应迅速、回报高、回报快。为了吸引更多高级别白帽黑客的关注,TOP10漏洞赏金项目的漏洞响应速度明显加快。五家公司的首次响应时间都在5小时以内,其中Gitlab的响应速度最快,1小时以内。据统计,总赏金排名第二的PayPal首次响应时间为4小时,平均漏洞赏金账户周期为17天。在TOP10中排名靠前,综合性能堪称标杆。PayPal的信息安全工程师RayDuran最近在博客中写道:“白帽黑客最好的漏洞提交方法很简单:基于证据及其影响。编写良好的报告有助于减少来回对话。让我们能够赶紧进入补救步骤,更快拿到赏金。”在赏金支付方面,Github、Twitter、VerizonMedia支付周期最短,收到报告后两周内即可支付,其中Twitter支付周期最短,仅8天,明显高于平均水平。Uber的付款周期最长,平均需要90天,是Twitter的十倍多。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
