最近,美國漏洞眾測平臺HackerOne的一項調查發現,一些國家的白帽駭客(漏洞賞金獵人,道德駭客)賺取的收入比他們本國的軟體工程師高出了16倍。
但是,根據《The 2018 Hacker Report》,平均而言,最高收入的研究人員薪水是其本國中等收入軟體工程師的2。7倍。
雖然金錢仍然是白帽駭客的主要動機,但是,它已經從第一名下降到第四名,取而代之的是“學習技術”,排名第二的是“挑戰”和“好玩”。
HackerOne的執行長Marten Mickos告訴媒體:“2016年和2018年報告最大的區別之一是,駭客的動機更多的是學習技術,挑戰和好玩,而不是金錢。雖然金錢肯定仍然吸引駭客參與不同的計劃,但這不是推動他們做什麼的關鍵因素。”
在其他方面,對技術的熱情也很明顯,37%的駭客表示,這是他們在業餘時間的愛好,其中將近58%是自學成才的。儘管50%的駭客在本科或研究生階段學過計算機科學,但學習過駭客技術的不到5%。
研究人員還發現,白帽駭客都比較年輕,在HackerOne上,35歲以下的白帽駭客超過90%,25歲以下的超過50%,18歲以下的在7%以下,其中大部分是18到24歲。
“道德駭客社群充滿了聰明,好奇,公共和善良的人。這個報告最大的收穫應該是道德駭客社群渴望為世界做貢獻。”Mickos說。“他們已經找到了漏洞。”
Mickos表示,對組織來說,是否有一個渠道來接收這些漏洞至關重要,至少透過漏洞響應計劃與駭客社群保持溝通。
這項研究發現,在尋找漏洞方面,白帽駭客的增長速度仍然很慢,因為46%的受訪者選擇不報告漏洞,
這些公司沒有漏洞披露渠道。9%的受訪者表示,有些公司在其網站上有威脅性的法律語言。
通常最合法和最安全的途徑就是不要在公司沒有漏洞披露政策(vulnerability disclosure policy,VDP)的時候公開漏洞,公開宣告的漏洞披露政策(VDP)為白帽駭客安全地報告漏洞並提供“安全避風港”。
Mickos說:“最有趣的發現之一是,最高漏洞賞金收入與本地軟體工程師薪水之間的比較。具體說明了最賺錢的漏洞賞金是如何產生的。很高興看到公司從外部的角度來看這種價值。”
對報告感興趣的可私信“report”給我獲取報告pdf檔案下載連結。
這篇文章收集了很多國內企業的安全應急響應中心,可以去他們的網站上了解他們的漏洞賞金計劃:國內企業安全應急響應中心大搜集,最大方的是哪家呢?
