国内外顶级漏洞赏金计划【转载】
漏洞赏金计划如今已成为许多互联网公司的重要安全策略之一,在国内大部分SRC更是承担了漏洞悬赏的职能。对于一家互联网企业而言网络安全问题至关重要,但趋于某些条件的限制,一些互企业往往会削弱其在安全方面的投入。因此漏洞赏金计划的模式,不仅为这些企业大大减轻了公司的成本负担。同时相较于公司自己聘请专门的安全负责人员,也更具效率。
我们看到在过去的两年间,越来越多的组织开始加入到了这个行列(例如航空,汽车和金融公司)。第一部分中是全球9大在赏金总额以及单人奖金最高的漏洞赏金计划。第二部分则包含国内部分SRC提供的漏洞现金奖励计划。
一、国外篇
Windows Bug赏金计划
多年以来,微软针对其产品推出了多个bug赏金计划。在今年的7月份,微软更是推出了其迄今为止最高的Windows Bug奖励计划高达250000美金。具体奖金金额取决于安全漏洞的复杂性,以及报告者提交给微软的信息数量。该奖励计划涵盖Windows 10及Windows内部预览版。
对于发现远程代码执行,权限提升或Microsoft Hyper-V中的其他关键缺陷的安全研究人员,将获取微软提供的5,000至250,000美元的奖金。Windows 10 mitigation绕过漏洞奖金为20万美元,而Microsoft Edge和Windows Defender Application Guard等技术的缺陷奖金从500到30,000美元不等。
250000美金的秘密Bug悬赏计划
本周BugCrowd推出了一个新的漏洞悬赏计划,该计划将提供高达250000美金的奖励,这与微软的最高悬赏金额持平。该计划除了部分邀请的安全人员参与外,还将对所有的安全研究人员开放,但最终只有被选定的安全人员才能真正加入到该赏金计划当中。
根据BugCrowd的要求,可能对虚拟机逃逸,跨实例操作,主机组件利用以及高级应用安全性方面有经验的安全研究人员,可以考虑申请加入该计划。
Google漏洞奖赏计划
作为全球最大的搜索引擎公司,Google对其安全方面的投入从来没有吝啬过。据统计自2010年Google推出漏洞赏金计划以来,Google已为其拥有的网络服务,Google应用,Android和Chrome支付了超过900万美金的漏洞奖励。奖赏人数超过上千人,截至目前最高的单人奖励更是高达10万美金。
从远程代码执行漏洞,例如命令注入和反序列化漏洞将获得100到31300美金不等的奖励。
Exodus Intelligence研究赞助计划
2016年8月“漏洞狩猎”公司Exodus推出了一项新的研究赞助计划。该计划将以高额的回报将赏那些发现零日漏洞,以及补丁安全漏洞的安全研究人员。
Exodus对iOS漏洞的奖励高出苹果最高奖金的2倍,Exodus将为iOS 9.3以上版本的零日漏洞最高奖励50万美元。Chrome漏洞利用为150000美金,Microsoft Edge漏洞则为125000美金。值得一提的是这些漏洞的奖金,都远远高于这些厂商自己的悬赏金额。此外与购买漏洞并修复它们的厂商不同,Exodus会将这些漏洞信息转售给其订阅者。
AgileBits 1Password漏洞赏金计划
密码管理应用1Password的开发商Agilebits,今年在Bugcrowd平台推出了一个高额悬赏计划。Agilebits称,如果有人可以在他们的应用当中找到漏洞(一般指 0-day 漏洞),他们将会支付对方10万美元。在此之前,Agilebits 就已经开启了赏金项目,只不过之前的赏金只有 2.5 万美元。这一次该公司把赏金提高了三倍,足以体现其重视程度。
BugCrowd运营副总裁David Baker说,“夺旗”挑战激励了研究人员专注于某个具体领域。“1Password的10万美金夺旗计划是一个激励研究人员的独特激励措施,其可以确保研究人员的持续参与性”。
黑进五角大楼
2016年美国国防部(DoD)推出了黑进五角大楼的漏洞赏金计划,赛期从4月18日至5月12日。在短短的一个月内,共有约250位安全人员报告了五角大楼存在的漏洞隐患,最终有138人被确认符合奖励资格,并获取了100到15,000美金不等的奖金。据统计,该计划共为此支付了多达75,000美元的奖金。
黑进五角大楼是第一个联邦政府组织的漏洞奖励计划。随着“五角大楼”计划的成功,美国国防部又相继举办了“黑进军队”和“黑掉空军”的奖赏计划,并计划在未来举办更多类似的挑战。
Apple漏洞赏金计划
作为一家科技公司巨头,苹果公司的漏洞赏金计划却进程缓慢。在2016年的美国黑帽大会,苹果第一次提出了漏洞奖励计划。
苹果这次推出的奖励计划,随着漏洞影响程度不同,奖金从34万人民币(约5万美元)到130万人民币(20万美元)不等。金额最高的种类为发现苹果的安全开机的韧体漏洞,用来防止未授权程序自行启动。不过这项计划采邀请制,目前仅开放20几名研究人员,以后将有更多的程序员人加入。
值得一提的是由于苹果产品中的漏洞较为稀少,而在漏洞赏金计划中Exodus为苹果零日漏洞提供的奖金是苹果公司的两倍之多。因此,许多安全猎人也并不会将发现漏洞完全提交给厂商。
Facebook漏洞赏金计划
像Google一样,Facebook多年来为其漏洞支付的总金额也非常的惊人。截至去年10月份,Facebook表示已经在过去五年内支付了超过500万美元的奖金。仅在2016年上半年,该公司就收到了超过9,000份报告,并向149名研究人员支付了61万美元的奖金。就在今年的1月份,Facebook向一位在照片编辑工具中发现关键的远程执行缺陷的研究人员,奖励了其目前最高的单一奖金 - 40,000美元。
LocalTapiola漏洞赏金计划
大约8个月之前,芬兰保险巨头LocalTapiola推出自己的漏洞悬赏计划,为黑客提供最具竞争力的悬赏平台。
近日,一名安全研究人员因发现关键系统漏洞成功获取18000美元。此外,该公司表示,任何黑客只要能够找到严重的、项目规定范围内的漏洞,都有机会获得50000美元的奖励。
虽然该项目的最高金额尚未透露,但是当LocalTapiola提高了奖赏额后,提交的漏洞报告数量也增长了50%。目前LocalTapiola共计接收了38份漏洞报告,并对40名黑客表达了感谢。
二、部分国内SRC奖励计划
腾讯安全应急响应中心
TSRC成立于2012年5月,目前发出的单个漏洞最高奖励金额是12万元。正常情况下高等级漏洞及严重等级漏洞会给予安全币之外的额外现金奖励,高等级漏洞现金奖励从1万至3万不等,严重等级漏洞现金奖励1万至10万不等。
阿里安全应急响应中心
ASRC成立于2013年10月,单个漏洞的最高奖励为10万元。严重级别的漏洞会提供额外的现金奖励2万-10万。
蚂蚁金服应急响应中心
蚂蚁金服应急响应中心承诺,凡发现蚂蚁金服集团旗下产品或业务的安全漏洞,如对蚂蚁金服安全提升价值较大,单个最高可获得35万元的现金奖励。
百度安全应急响应中心
百度每月会根据漏洞等级、难易程度、影响范围、思路是否新颖等因素进行综合评选,评出高质量漏洞奖,奖励最高金额为10万。
360安全应急响应中心
360SRC将所有漏洞分为web/服务端,移动端,客户端三类,单个漏洞最高奖励金额为10万(web/服务端),除低级漏洞外,中级、高级和严重等级漏洞均有不同金额的现金奖励。
联想安全应急响应中心
联想对于保护用户利益,帮助联想安全提升的白帽子黑客,我们给予感谢和回馈,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
联想反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏.损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。
联想认为每个安全漏洞的处理与整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“合作式的漏洞披露和处理”过程中来,一起为建设安全健康的互联网而努力。
一般业务提供 3千~5千的奖励,重要业务提供5千~1万的奖励,并不定期组织高额奖金的挖洞比赛。
小米安全中心
小米安全中心表示,对严重漏洞增加即时额外奖励,一般业务提供 3千~5千的奖励,重要业务提供5千~1万的奖励,额外奖励将转为金币发放。
金山云SRC
漏洞等级评定标准依据为CVSS v3(Common Vulnerability Scoring System,即“通用漏洞评分系统”),根据漏洞对系统机密性(C)、完整性(I)、可用性(A)影响,将漏洞等级分为【严重】、【高危】、【中危】、【低危】4个等级。对严重漏洞增加即时额外奖励,一般业务提供 3千~5千的奖励,重要业务提供5千~1万的奖励,额外奖励随定期举办的白帽活动发放。
唯品会信息安全中心
唯品会目前给予的现金奖励也是对于严重等级及高危等级漏洞,提供额外现金奖励。其中属于核心业务的严重等级漏洞,将额外奖励至少1万元。高危等级的核心业务漏洞则提供5千至1万的奖励。
携程安全应急响应中心
携程漏洞中涉及系统为核心应用,并且为严重等级,视具体情况而定,提供范围在2千-1万之间的现金奖励。
*参考来源:darkreading,SRC,FB小编 secist 编译,Elaine整理,转载请注明来自FreeBuf.COM