北京时间 6 月 8 日下午消息,旧金山一家创业公司 HackerOne 试图吸引黑客积极解决软件系统的漏洞,而不是利用漏洞。该公司帮助所谓的“白帽”黑客与愿意付费的企业牵线搭桥。
2011 年,荷兰两名 20 多岁的黑客米歇尔·普林斯(Michiel Prins)和约伯特·阿布玛(Jobert Abma)列出了 100 家他们计划攻击的科技公司。不久之后,他们就发现了 Facebook、谷歌、苹果、微软、Twitter 和其他 95 家公司系统中的漏洞。他们将这一名单称作“Hack 100”。
当他们联系这些公司的管理者时,有1/3 公司并不关注这些问题。另1/3 的公司对他们表示感谢,但并未修复漏洞。而其余公司则试图尽快解决漏洞。目前,普林斯和阿布玛试图为这样的工作找到商业模式,并成立了 HackerOne。
去年,HackerOne 吸引了科技行业一些大公司,例如雅虎、Square 和 Twitter 的使用,一些银行和石油公司也成为了该公司的客户。此外,该公司已经获得风险投资。随着数十亿台设备联网,而软件系统漏洞不可避免,因此 HackerOne 能带来很大的价值。在企业为找出的软件漏洞支付的报酬中,HackerOne 将收取 20% 的分成。
Benchmark 合伙人比尔·古尔利(Bill Gurley)表示:“所有公司都将愿意这样做,不愿尝试的公司是‘脑子坏了’。”古尔利对 HackerOne 投资了 900 万美元。
目前,在发现企业系统的漏洞之后,黑客可以将其出售给犯罪分子或政府。根据漏洞严重程度不同,黑客可以获得多达六位数的报酬。如果黑客这样做,那么企业很可能不会知道并修复漏洞。然而,如果黑客将漏洞报告给企业,那么他们很可能不会获得报酬,甚至有可能被企业威胁。
HackerOne 首席政策官凯蒂·穆苏里斯(Katie Moussouris)表示:”我们希望让下一代有能力的黑客通过网络防御工作获得有竞争力的职业机会,让他们的工作更容易,报酬更高。“穆苏里斯此前曾在微软探索漏洞奖励项目。
