特別企劃 | 國內外頂級漏洞賞金計劃

漏洞賞金計劃如今已成為許多互聯網公司的重要安全策略之一，在國內大部分SRC更是承擔了漏洞懸賞的職能。對於一家互聯網企業而言網路安全問題至關重要，但趨於某些條件的限制，一些互企業往往會削弱其在安全方面的投入。因此漏洞賞金計劃的模式，不僅為這些企業大大減輕了公司的成本負擔。同時相較於公司自己聘請專門的安全負責人員，也更具效率。

我們看到在過去的兩年間，越來越多的組織開始加入到了這個行列（例如航空，汽車和金融公司）。第一部分中是全球9大在賞金總額以及單人獎金最高的漏洞賞金計劃。第二部分則包含國內部分SRC提供的漏洞現金獎勵計劃。

一、國外篇

Windows Bug賞金計劃

多年以來，微軟針對其產品推出了多個bug賞金計劃。在今年的7月份，微軟更是推出了其迄今為止最高的Windows Bug獎勵計劃高達250000美金。具體獎金金額取決於安全漏洞的複雜性，以及報告者提交給微軟的信息數量。該獎勵計劃涵蓋Windows 10及Windows內部預覽版。

對於發現遠程代碼執行，許可權提升或Microsoft Hyper-V中的其他關鍵缺陷的安全研究人員，將獲取微軟提供的5,000至250,000美元的獎金。Windows 10 mitigation繞過漏洞獎金為20萬美元，而Microsoft Edge和Windows Defender Application Guard等技術的缺陷獎金從500到30,000美元不等。

250000美金的秘密Bug懸賞計劃

本周BugCrowd推出了一個新的漏洞懸賞計劃，該計劃將提供高達250000美金的獎勵，這與微軟的最高懸賞金額持平。該計劃除了部分邀請的安全人員參與外，還將對所有的安全研究人員開放，但最終只有被選定的安全人員才能真正加入到該賞金計劃當中。

根據BugCrowd的要求，可能對虛擬機逃逸，跨實例操作，主機組件利用以及高級應用安全性方面有經驗的安全研究人員，可以考慮申請加入該計劃。

Google漏洞獎賞計劃

作為全球最大的搜索引擎公司，Google對其安全方面的投入從來沒有吝嗇過。據統計自2010年Google推出漏洞賞金計劃以來，Google已為其擁有的網路服務，Google應用，Android和Chrome支付了超過900萬美金的漏洞獎勵。獎賞人數超過上千人，截至目前最高的單人獎勵更是高達10萬美金。

從遠程代碼執行漏洞，例如命令注入和反序列化漏洞將獲得100到31300美金不等的獎勵。

Exodus Intelligence研究贊助計劃

2016年8月「漏洞狩獵」公司Exodus推出了一項新的研究贊助計劃。該計劃將以高額的回報將賞那些發現零日漏洞，以及補丁安全漏洞的安全研究人員。

Exodus對iOS漏洞的獎勵高出蘋果最高獎金的2倍，Exodus將為iOS 9.3以上版本的零日漏洞最高獎勵50萬美元。Chrome漏洞利用為150000美金，Microsoft Edge漏洞則為125000美金。值得一提的是這些漏洞的獎金，都遠遠高於這些廠商自己的懸賞金額。此外與購買漏洞並修復它們的廠商不同，Exodus會將這些漏洞信息轉售給其訂閱者。

AgileBits 1Password漏洞賞金計劃

密碼管理應用1Password的開發商Agilebits，今年在Bugcrowd平台推出了一個高額懸賞計劃。Agilebits稱，如果有人可以在他們的應用當中找到漏洞（一般指 0-day 漏洞），他們將會支付對方10萬美元。在此之前，Agilebits 就已經開啟了賞金項目，只不過之前的賞金只有 2.5 萬美元。這一次該公司把賞金提高了三倍，足以體現其重視程度。

BugCrowd運營副總裁David Baker說，「奪旗」挑戰激勵了研究人員專註於某個具體領域。「1Password的10萬美金奪旗計劃是一個激勵研究人員的獨特激勵措施，其可以確保研究人員的持續參與性」。

黑進五角大樓

2016年美國國防部（DoD）推出了黑進五角大樓的漏洞賞金計劃，賽期從4月18日至5月12日。在短短的一個月內，共有約250位安全人員報告了五角大樓存在的漏洞隱患，最終有138人被確認符合獎勵資格，並獲取了100到15,000美金不等的獎金。據統計，該計劃共為此支付了多達75,000美元的獎金。

黑進五角大樓是第一個聯邦政府組織的漏洞獎勵計劃。隨著「五角大樓」計劃的成功，美國國防部又相繼舉辦了「黑進軍隊」和「黑掉空軍」的獎賞計劃，並計劃在未來舉辦更多類似的挑戰。

Apple漏洞賞金計劃

作為一家科技公司巨頭，蘋果公司的漏洞賞金計劃卻進程緩慢。在2016年的美國黑帽大會，蘋果第一次提出了漏洞獎勵計劃。

蘋果這次推出的獎勵計劃，隨著漏洞影響程度不同，獎金從34萬人民幣（約5萬美元）到130萬人民幣（20萬美元）不等。金額最高的種類為發現蘋果的安全開機的韌體漏洞，用來防止未授權程序自行啟動。不過這項計劃采邀請制，目前僅開放20幾名研究人員，以後將有更多的程序員人加入。

值得一提的是由於蘋果產品中的漏洞較為稀少，而在漏洞賞金計劃中Exodus為蘋果零日漏洞提供的獎金是蘋果公司的兩倍之多。因此，許多安全獵人也並不會將發現漏洞完全提交給廠商。

Facebook漏洞賞金計劃

像Google一樣，Facebook多年來為其漏洞支付的總金額也非常的驚人。截至去年10月份，Facebook表示已經在過去五年內支付了超過500萬美元的獎金。僅在2016年上半年，該公司就收到了超過9,000份報告，並向149名研究人員支付了61萬美元的獎金。就在今年的1月份，Facebook向一位在照片編輯工具中發現關鍵的遠程執行缺陷的研究人員，獎勵了其目前最高的單一獎金 - 40,000美元。

LocalTapiola漏洞賞金計劃

大約8個月之前，芬蘭保險巨頭LocalTapiola推出自己的漏洞懸賞計劃，為黑客提供最具競爭力的懸賞平台。

近日，一名安全研究人員因發現關鍵系統漏洞成功獲取18000美元。此外，該公司表示，任何黑客只要能夠找到嚴重的、項目規定範圍內的漏洞，都有機會獲得50000美元的獎勵。

雖然該項目的最高金額尚未透露，但是當LocalTapiola提高了獎賞額後，提交的漏洞報告數量也增長了50%。目前LocalTapiola共計接收了38份漏洞報告，並對40名黑客表達了感謝。

二、部分國內SRC獎勵計劃

騰訊安全應急響應中心

TSRC成立於2012年5月，目前發出的單個漏洞最高獎勵金額是12萬元。正常情況下高等級漏洞及嚴重等級漏洞會給予安全幣之外的額外現金獎勵，高等級漏洞現金獎勵從1萬至3萬不等，嚴重等級漏洞現金獎勵1萬至10萬不等。

阿里安全應急響應中心

ASRC成立於2013年10月，單個漏洞的最高獎勵為10萬元。嚴重級別的漏洞會提供額外的現金獎勵2萬-10萬。

螞蟻金服應急響應中心

螞蟻金服應急響應中心承諾，凡發現螞蟻金服集團旗下產品或業務的安全漏洞，如對螞蟻金服安全提升價值較大，單個最高可獲得35萬元的現金獎勵。

百度安全應急響應中心

百度每月會根據漏洞等級、難易程度、影響範圍、思路是否新穎等因素進行綜合評選，評出高質量漏洞獎，獎勵最高金額為10萬。

360安全應急響應中心

360SRC將所有漏洞分為web／服務端，移動端，客戶端三類，單個漏洞最高獎勵金額為10萬（web/服務端），除低級漏洞外，中級、高級和嚴重等級漏洞均有不同金額的現金獎勵。

聯想安全應急響應中心

聯想對於保護用戶利益，幫助聯想安全提升的白帽子黑客，我們給予感謝和回饋，每一位報告者反饋的問題都有專人進行跟進、分析和處理，並及時給予答覆。

聯想反對和譴責一切以漏洞測試為借口，利用安全漏洞進行破壞.損害用戶利益的黑客行為，包括但不限於利用漏洞盜取用戶資料、入侵業務系統、修改、竊取相關係統資料、惡意傳播漏洞或數據。

聯想認為每個安全漏洞的處理與整個安全行業的進步，都離不開各方的共同合作。希望企業、安全公司、安全組織、安全研究者一起加入到「合作式的漏洞披露和處理」過程中來，一起為建設安全健康的互聯網而努力。

一般業務提供 3千~5千的獎勵，重要業務提供5千~1萬的獎勵，並不定期組織高額獎金的挖洞比賽。

小米安全中心

小米安全中心表示，對嚴重漏洞增加即時額外獎勵，一般業務提供 3千~5千的獎勵，重要業務提供5千~1萬的獎勵，額外獎勵將轉為金幣發放。

金山雲SRC

漏洞等級評定標準依據為CVSS v3(Common Vulnerability Scoring System，即「通用漏洞評分系統」)，根據漏洞對系統機密性（C）、完整性(I)、可用性(A)影響，將漏洞等級分為【嚴重】、【高危】、【中危】、【低危】4個等級。

對嚴重漏洞增加即時額外獎勵，一般業務提供 3千~5千的獎勵，重要業務提供5千~1萬的獎勵，額外獎勵隨定期舉辦的白帽活動發放。

唯品會信息安全中心

唯品會目前給予的現金獎勵也是對於嚴重等級及高危等級漏洞，提供額外現金獎勵。其中屬於核心業務的嚴重等級漏洞，

將額外獎勵

攜程安全應急響應中心

攜程漏洞中涉及系統為核心應用，並且為嚴重等級，視具體情況而定，提供範圍在2千-1萬之間的現金獎勵。

*參考來源：darkreading，SRC，FB小編 secist 編譯，Elaine整理，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！