翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
一家神秘公司将会在9月份启动为期8周且仅限邀请的漏洞奖励计划,在未发布的一款产品中如能找到虚拟机逃逸漏洞则可获得最高25万美元的奖励。
神秘公司25万美元求虚拟机逃逸漏洞
Bugcrowd刚宣布了这项计划,并表示这次高价奖励是第三方平台收到的数额最大的一笔奖励。Bugcrowd公司的首席执行官Casey Ellis指出,“这项机密计划是一种混合策略。这可以让提供奖励的组织机构招聘到更顶级的人才,准确地说是擅长公司独特攻击面的安全专家。”
这种高价奖励反映出漏洞奖励计划的势头越来越迅猛,并日益成为微软、谷歌、Facebook和苹果等公司雇佣白帽黑客找出漏洞的主流方式。
上个月,微软宣布了一个最高奖励为25万美元的Windows漏洞奖励计划,只要能在微软虚拟化软件Hyper-V中找到管理程序和主机内核远程代码执行漏洞就有望获得最高奖励。在去年的Black Hat大会上,苹果宣布了一个20万美元的私密奖励计划,而利用厂商Zerodium不久之后为iOS10远程越狱利用提供了150万美元的奖励。
这次“超级机密”的Bugcrowd漏洞奖励计划实行邀请制,而且要求参与的研究人员提交“一份报告,说明他们对于一个潜在攻陷所做的尝试和理念,以及任何相关信息(不管是否达到了所述目标)”。排名前五的报告如未能找到漏洞但展示出了投入和专业性,那么会收到1万美元的奖励作为工作补偿。
这项计划持续八周的时间,从9月初一直到10月。据Bugcrowd平台透露,已有27名参与者加入该计划。
最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的客户机逃逸漏洞”,以及“能够在另外一个实例中导致执行代码执行的客户机逃逸漏洞”的人员。而发现能导致泄露内存内容和虚拟平台代码的漏洞,则获得10万美元的奖励。另外,如能发现与控制面板基础设施问题实现意外网络相关的漏洞,则可获得2.5万美元的奖励。
Ellis认为这类高价奖励可以反映漏洞奖励计划越来越火的势头以及(不太属于利基)市场的成熟程度。
后记
Bugcrowd的竞争对手HackerOne指出,支付给参与者的平均金额比2015年的1624美元增长了6%。而HackerOne目前提供的最高奖励是5万美元。