據(jù)外媒報道，道德黑客平臺Bugcrowd發(fā)布的新數(shù)據(jù)顯示，自由職業(yè)精英黑客幫助特斯拉等大公司和國防部等政府機(jī)構(gòu)尋找和報告安全漏洞，每年可以賺逾50萬美元。

　　Bugcrowd公司成立于2012年，是少數(shù)幾家所謂的“捉蟲賞金”公司之一。這些公司為黑客們提供了一個施展才華的平臺，讓他們?yōu)樾枰獪y試安全的公司尋找安全漏洞。

　　黑客們與特定的公司簽署明確的合同，幫助這些公司尋找安全漏洞，一旦他們在這些公司的基礎(chǔ)設(shè)施中發(fā)現(xiàn)漏洞，他們就會得到賞金。他們的酬勞多少取決于安全漏洞的嚴(yán)重性。

　　Bugcrowd公司首席執(zhí)行官凱西o埃利斯(Casey Ellis)表示，由于網(wǎng)絡(luò)安全領(lǐng)域存在數(shù)百萬個空缺職位，因此很多公司越來越多傾向于雇用安全專家來測試網(wǎng)絡(luò)安全。據(jù)估計，到2021年，網(wǎng)絡(luò)安全行業(yè)可能會有多達(dá)350萬個空缺崗位。

　　埃利斯稱，去年，該公司為一個安全漏洞支付了最大一筆酬勞11.3萬美元，這是在一家大型科技硬件公司中發(fā)現(xiàn)的漏洞。相關(guān)數(shù)據(jù)顯示，在2018年，這方面的支出額同比增長37%。

　　這項調(diào)查顯示，有一半的道德黑客——被公司雇用來代表它攻擊其網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的安全專家——表示，他們有全職工作。約80%的人表示，他們的技能幫助他們在網(wǎng)絡(luò)安全領(lǐng)域找到了一份工作。埃利斯說，對于前50名黑客來說，平均每年支出的酬勞約為14.5萬美元。

　　據(jù)埃利斯說，賺錢最多的黑客具有某些必要的技能。

　　“他們會發(fā)現(xiàn)某種特定的安全漏洞，然后在不同的公司中利用這個漏洞。他們還會在整個網(wǎng)絡(luò)空間尋找盡可能多的機(jī)會來利用這個漏洞。”埃利斯說。

　　“他們還有很好的偵察技能，能夠了解什么漏洞可能對一個組織造成最大的破壞，并據(jù)此進(jìn)行相關(guān)的操作。了解企業(yè)如何運作，或其基礎(chǔ)設(shè)施是如何建設(shè)的，這真的很有幫助。”他補(bǔ)充說。

　　雖然Bugcrowd公司中有94%的賞金獵手年齡在18歲到44歲之間，但是還有一些人仍然在讀高中或初學(xué)。埃利斯說，進(jìn)入這個行業(yè)的成本很低，主要看技能。該平臺上有大約四分之一的黑客沒有大學(xué)學(xué)位。

　　為了防止遭到網(wǎng)絡(luò)攻擊，很多公司讓擁有黑客技能的人來測試它們的安全防御能力。一些公司使用自己內(nèi)部的安全測試人員，通常將他們放在所謂的紅隊中，扮演試圖惡意摧毀公司服務(wù)器或竊取信息的角色。

　　另一些公司則使用提供這項服務(wù)的咨詢公司，或者像Bugcrowd、HackerOne、Synack和Cobalt這樣的捉蟲賞金公司。或者，他們只是提供一個向其報告安全漏洞的電子郵件，讓任何發(fā)現(xiàn)安全漏洞的人與他們聯(lián)系。

　　埃利斯稱，捉蟲賞金計劃提供了一種更正規(guī)的途徑，黑客必須遵守相應(yīng)的規(guī)則，例如不能從被測試的服務(wù)器跳到其他存有更敏感數(shù)據(jù)的服務(wù)器。

　　IJet公司和特斯拉會根據(jù)每個安全漏洞的嚴(yán)重程度向黑客支付1000至1.5萬美元的酬勞。萬事達(dá)則就黑客發(fā)現(xiàn)的安全漏洞向他們支付最高3000美元的酬勞。今年10月，美國國防部將“攻擊五角大樓”合同授予了Bugcrowd和HackerOne公司。