暗網做生意不容易：黑市開搞漏洞獎勵計劃，最高獎勵10比特幣

很多人不知道，安全是黑產都需要重視的話題。就在上周，大型暗網市場Hansa借鑒了許多公司的普遍做法，發布了漏洞賞金計劃，獎勵金額最高可達10比特幣，約合1萬美元。

Hansa發布的這個獎勵計劃，既是害怕執法機關的查處（對網站所有者及其用戶身份的曝光），也是害怕其他黑客前來攪和，從這個層面來說，在暗網做生意還真是比一般的電商處境艱難許多。Hansa分別在網站和社交新聞站點Reddit上發布此消息。

暗網也需要「白帽子」

畢竟和合法的生意還是有很大不同，Hansa如果遭遇入侵，是不能尋求警方或FBI的幫助的。據Hansa管理員所說，網站在2016年的業務超過300萬美元，雖然在去年有很多同類型網站都遭到取締，但是Hansa的發展反而有持續擴張趨勢。

Hansa提供的服務與其他的暗網市場並沒有太大的區別，網站提供一些非法物品的買賣，包括一些被黑的賬戶密碼，毒品，惡意軟體、槍支等。

上周，最大的暗網市場AlphaBay被發現存在漏洞，AlphaBay給發現漏洞的黑客付了一筆錢之後，才不致信息泄露。

Hansa於此發布漏洞獎勵計劃也就沒什麼好奇怪的了。畢竟五角大樓有漏洞賞金計劃，Google和Facebook也有，沒道理暗網就不能有。

要知道AlphaBay的漏洞讓入侵者可以獲取超過218,000條私密信息，其中包括用戶收件地址、比特幣錢包賬號、物流號等等。

而之前也有其他暗網市場被勒索的情況發生，像是SilkRoad，就被威脅不支付贖金就會將網站的敏感信息和負責人的真實身份發送給當地執法機構（做生意好兇險）。

已有漏洞被發現

據CyberScoop報道，在漏洞賞金計劃發布之後已經有人發現了Hansa的兩個漏洞。其中一個是被垃圾郵件和釣魚入侵者利用的驗證碼繞過漏洞，還有暴露在外的資料庫，雖然這個資料庫並不存在什麼敏感信息。

Hansa為這名黑客的發現提供了1比特幣酬金，這個報酬還是略低的。真名黑客Cipher0007聲稱，漏洞令他能夠獲取240,000個Hansa用戶名。

如上圖所示，Hansa的懸賞標準如下：

可能嚴重破壞網站完整性的漏洞（像是IP地址和供應商或用戶的個人信息）：10比特幣

可能讓市場下線的非關鍵漏洞：1比特幣

簡單的顯示問題或某些意想不到的行為（不是拼寫或者語法錯誤）：0.05比特幣

和其他的漏洞賞金計劃一樣，白帽子想要獲得賞金需要滿足以下條件：不能造成主要服務下線，不訪問其他用戶賬戶，只能使用測試賬戶來演示漏洞情況。

*參考來源：

softpedia

，

bleepingcomputer

，FB小編孫毛毛編譯，轉載請註明來自FreeBuf.COM