译者:WisFree
预估稿费:130RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
写在前面的话
由于网络攻击和数据泄露等恶意事件不断频发,很多企业和组织都纷纷启动了自己的漏洞奖励计划,因为他们希望通过漏洞奖金的形式来鼓励广大黑客、漏洞Hunter以及安全研究专家们帮助他们找到自己产品或服务中存在的潜在安全漏洞。
没错,只要你能够找到符合漏洞奖励计划标准的安全漏洞,你就能拿到漏洞奖金!
而作为最大的在线匿名网络(允许用户在网络中隐藏自己的真实身份)开发组织,Tor项目组这个非营利性的组织也开始跟随主流企业和组织的脚步了。近期,Tor项目组对外宣布,他们正式启动了“Tor漏洞奖励计划”。
Tor漏洞奖励计划正式启动
在本周四,Tor项目正式对外宣布,他们将携手HackerOne开启一个公开漏洞奖励计划,希望以此来鼓励广大黑客和安全研究专家找出可能会影响Tor匿名网络的安全漏洞,并将漏洞信息悄悄提交给Tor项目组。
HackerOne是一家专门从事漏洞奖励的初创企业,目前它正在为包括Yahoo、Twitter、Slack、Dropbox、Uber和General Motors在内的多个大型企业操作和管理它们的漏洞奖励计划,HackerOne甚至还在帮美国国防部管理他们的漏洞奖励计划-“攻陷五角大楼”。
所谓漏洞奖励计划,指的是公司或企业为了找出自家产品或在线服务中存在的安全漏洞,通过悬赏的方式向安全社区广发"英雄帖",如果白帽黑客、安全研究专家或漏洞Hunter能够找到其中存在的安全漏洞并负责任地将漏洞信息上报给发起该漏洞奖励计划的组织,他们就能够获得漏洞奖金,而且一般都是现金奖励,不过上报的漏洞必须符合他们的标准才行。
实际上早在2015年的十二月份,Tor项目组就在当时举办于德国汉堡的混沌通信大会(CCC)上对外宣布他们将启动公开漏洞奖励计划,但是他们在去年只推出了一个邀请性质的漏洞奖励计划,即只有受到邀请的研究人员才能参加的漏洞奖励计划。
漏洞奖金
根据Tor项目组此次公布的漏洞奖励计划, 针对高危安全漏洞的漏洞奖励金额在2000美元到4000美元之间,而中危安全漏洞的奖励金额在500美元到2000美元之间,低危漏洞的最低奖励金额为100美元。也就是说,只要你提交的漏洞符合标准,那你至少可以拿到100美元,最多则能拿到高达4000美元的漏洞奖金。
除此之外,对于那些影响不是非常严重的安全漏洞,Tor项目组还会给漏洞提交者赠送一件印有Tor图案的T恤以资鼓励。
看来这次是认真的
Tor浏览器的开发人员Georg Koppen在一篇博客文章中说到:"全球各地的Tor用户们,包括所有的人权捍卫者、活动家、律师、研究人员、以及所有希望通过Tor匿名网络来保护自己隐私安全的人们,Tor项目组真诚地希望你们可以帮助我们一起来保护广大Tor用户的隐私,找出Tor网络中存在的安全漏洞,并防止Tor流量被坏人监控、追踪或攻击。我们非常感激那些一直在对我们项目代码进行审查的安全研究人员,但如果我们想让Tor项目能够有持续的提升,那唯一的途径就是让更多的人投入到Tor项目中来,这个漏洞奖励计划可以鼓励更多的人来对我们的代码进行审查,并发现其中的设计缺陷以及安全漏洞,然后帮助我们改进Tor网络。"
Tor项目组由Tor匿名网络背后的开发人员组成,它是一个非营利性组织,而Tor网络的目标就是帮助那些害怕在网络上被追踪的用户保护自己的隐私。
据说早在2015年,美国联邦调查局为了找出Tor网络中的安全漏洞并识别出Tor用户的真实身份(包括真实IP地址),还专门给卡内基梅隆大学的研究人员提供了一百万美元的研究资金,不过美国联邦调查局否认了外界的这种说法。