导语:Facebook自开启漏洞奖励计划,5年内向900位安全研究员发放了近500万美元的奖金,仅今年上半年就向149位安全研究员发放了611741美元的奖金。

Facebook自开启漏洞奖励计划,5年内向900位安全研究员发放了近500万美元的奖金。仅今年上半年就向149位安全研究员发放了611741美元的奖金,获奖的安全研究员大部分来自于印度、美国、墨西哥。

Facebook漏洞奖励计划组的安全工程师Joey Tyson称,在2016年1月至6月期间,他们已经收到了9000份安全报告,相比较于去年一年13233份报告的数据,这绝对堪称一次峰值。

Facebook的漏洞奖励金额越来越高

近年来,Facebook已经精炼了他们的项目计划。每位获得漏洞奖励的安全研究员都会发现,他们在收到漏洞奖励通知的同时,还会收到一份详细漏洞奖励明细。

我们对漏洞危害程度的评价是基于漏洞真实的危害,而不是感官上的危害,并且我们还会分享每项奖金背后的想法。

比如,上个月,来自印度的安全研究员Arun Sureshkumar因提交了一个安全漏洞,获得了16000美元的奖励。随后,Facebook安全团队的Neal Poole便给他详细说明了这份奖金的评判细则。因为Arun Sureshkumar提交的这个漏洞能拿到页面的控制权限,并且他们在修复这个漏洞的时候还发现了另外一个相关的问题,所以综合考虑就给予了16000美元的漏洞奖励。

Facebook是最早一批开启漏洞奖励计划的公司,同期的还有Google、Mozilla,但是早期Facebook的漏洞奖励额度比较低,通常一个漏洞只有500美元,相比较于其他公司的奖励额度,没有什么竞争力。

之后,Facebook便提升了漏洞奖励额度。2013年向330位安全研究员发放了150万美元的奖励,2014年向321位安全研究员发放了130万美元的奖励,2015年向210位安全研究员发放了将近100万美元的奖金。

今年2月份,来自芬兰的一位10岁男孩在Instagram上发现了一个API漏洞,Facebook公司给予其10000美元的奖励。

Facebook旗下的产品包括WhatsApp、Instagram、FacebookMessenger、Oculus、Atlas,甚至还包括osquery检测工具。所以有能力的安全研究员均可从这些产品上找出安全漏洞,从而挣得不错一份奖励。

知名公司的漏洞奖励计划明细

微软的漏洞奖励计划:漏洞最低奖励为500美元,最高可达10万美元;
苹果也于今年开启了漏洞奖励计划:单个漏洞最高可获得20万美元的奖励;
谷歌漏洞奖励计划:单个漏洞最低100美元,最高2万美元;
Mozilla的漏洞奖励计划:单个漏洞最低500美元,最高300美元;
WordPress漏洞奖励计划:单个漏洞最低100美元,最高1000美元;
Chromium的漏洞奖励计划:单个漏洞最低500美元,最高1.5万美元。
源链接

Hacking more

...