两荷兰黑客汇聚千名黑客搜罗企业漏洞做成大生意

HackerOne 上汇聚了大约 1500 名黑客。他们已经修复了大约 9000 个漏洞，共收到 300 多万美元赏金

HackerOne 上汇聚了大约 1500 名黑客。他们已经修复了大约 9000 个漏洞，共收到 300 多万美元赏金。

旧金山电 C 2011 年，两个 20 岁出头的荷兰黑客列了 100 家他们打算黑掉的高科技公司。不久之后，他们就发现了 Facebook、Google、苹果、微软、Twitter 以及其他 95 家公司系统上的安全漏洞。

他们把自己这个清单叫做 Hack 100。

当他们就此警告这些公司的高管时，有三分之一的人选择了忽略警告，另有三分之一的人简单地感谢了他们，但从来没有去修复漏洞，剩下的则赶着去把漏洞给修复了。由于心怀对两位黑客的感激，没有人去报警。

现在，这两位黑客――Michiel Prins 和 Jobert Abma――成为了一家旧金山初创企业的四位创始人之一，这家公司致力于为那些有网络安全问题的企业和像他们一样的黑客之间的桥梁，这些黑客是来解决系统安全问题的，而不是来搞破坏的。他们希望这家叫HackerOne 的公司能说服其他黑客负责任地报告安全漏洞，而不是利用它们，公司会让这些“白帽黑客”和那些愿意为他们发现的漏洞支付赏金的公司对接起来。

去年，这家创业公司已经说服了包括雅虎、Square 和 Twitter 在内的知名科技公司，以及一些你可能永远想不到的公司（比如银行和石油公司）应用他们的服务。他们已经向风投资本家们证明，现在支持网络运行的设备有几十亿台，存在缺陷在所难免，因此HackerOne 的服务有可能会非常赚钱。对于每一笔通过 HackerOne 支付的赏金，HackerOne 平台会抽取 20% 的佣金。

“所有公司都会使用这项服务，”为 HackerOne 投资了 900 万美元的 Benchmark 公司合伙人 Bill Gurley 说。“不用它是很愚蠢的。”

这种变相的“漏洞发现奖励计划（moderated bug bounty programs）”采取的是现在流行的反向刺激模式（moderated bug bounty programs）。根据企业系统漏洞的严重程度，发现漏洞的黑客可以通过把漏洞信息卖给罪犯或者政府拿到数十万美元的回报，而这些漏洞则被保存在了网络武器库里，往往永远都得不到修复。而如果黑客把漏洞报告给企业、让企业去修复这些漏洞，他们则常常被忽视，或者受到要被投进监狱的威胁。

大体上讲，有能力修复互联网安全问题的人更有理由把互联网的漏洞留在那里，任由其受到攻击。

“我们想让这件事情变得容易，以后那些有能力的黑客能收到回报，从而让他们有一个受保护的、可靠的职业，”HackerOne 的首席政策官 Katie Moussouris 说。漏洞发现奖励计划是他首先在微软实行起来的。“现在，我们是保持中立的。”

Prins，Abma 和住在硅谷的荷兰企业家 MerijnTerheggen 一起创办了 HackerOne。在他们建立起 Hack 100 清单，并发邮件警告 Facebook 的首席执行官 Sheryl Sandberg 说网站存在一个漏洞的过程中，他们遇到了公司的第四位联合创始人。Sandberg 不只感谢了他们，而且把他们的信打出来交给了 Facebook 当时的产品安全主管 Alex Rice，让他修复漏洞。Rice 请了这几位黑客共进午餐，并和他们一起解决了那个问题，然后支付了4000 美元的赏金。一年后，Rice 加入了 HackerOne。

左起分别是 HackerOne 的创始人 Michiel Prins、Jobert Abma、Alex Rice、Merijn Terheggen，以及公司的一位投资人 Bill Gurley。

“所有技术都有漏洞，如果你没有一个公开的渠道让负责任的黑客报告这些漏洞，那你就会在通过黑市发起的网络攻击中和他们照面，”Rice 说。“而这是不可接受的。”

众所周知，网络罪犯们一直都在扫描企业系统的薄弱之处，以及那些正在收集这些漏洞的政府机构。网络罪犯会利用空调服务中的此类漏洞，侵入目标企业的支付系统。而这些漏洞对政府的监护行为来说非常致命，而且会成为像 Stuxnet 工业蠕虫病毒这样的互联网武器的关键部分。Stuxnet 是美国和以色列联合开发的一种电脑蠕虫病毒，它利用了数个漏洞，发现并破坏了一家伊朗核设施的铀离心机。

政府网络武器库的漏洞是如此关键，以至于一家美国政府机构向一名黑客支付了 100 万美元，就为了获得一个苹果 iOS 操作系统中的漏洞信息。苹果公司在知晓并修复这个漏洞之后，可能不会给他一分钱，而另一家公司可能已经报警了。

漏洞发现奖励是为了推动黑客修复漏洞，并回报那些永远不泄漏漏洞的黑客――而这也正是 HackerOne 想要改变的地方。

5 年前，当 Google 开始向黑客支付 3133.7 美元来购买漏洞信息之后，科技公司开始回报黑客（31337 是黑客界表示“精英”的行话）。自那以后，Google 支付的最高单笔奖励高达15 万美元，支付给黑客的总奖金也已经超过了 400 万美元。Rice 和 Moussouris 则在Facebook 和微软分别尝试了漏洞发现奖励计划。

其他人则发现，只是简单地给黑客荣誉上的奖励，或者给他们送一些小玩意儿，已经没有用了。雅虎的安全主管 Ramses Martinez 说，在两个黑客批评雅虎公司拿 T 恤换 4 个价值数千美元的漏洞以后，他在 2013 年启动了雅虎的漏洞发现奖励计划。现在 Martinez说，他认为漏洞奖励是件“不用动脑筋的事”。

“既然那么大、那么知名的公司都采用了这种方式，那么关于这种计划的许多担忧也就被打消了，”他说。

但大部分公司还是不会为黑客的发现付钱，其中就包括了苹果公司――今年到现在，它已经出现了大约 100 个安全漏洞，一些漏洞非常严重，可以让攻击者劫持用户的密码。当然，苹果公司一个漏洞的市价已经高达 50 万美元，这相当于微软支付给黑客的所有的奖金，所以苹果公司的奖金要想赶上市场价格，那得非常非常高才行。

“许多公司都有黑客，它们只是不知道而已，”HackerOne 的首席执行官 Terheggen 说，“坏人就在那儿，除非你邀请，否则好人是不会现身的。”

HackerOne 是个 18 岁的黑客，他说，13 岁的时候，他在好奇心的驱使下开始入侵PayPal 和 Facebook 这样的服务。他在 PayPal 发现了 10 个漏洞，在 Facebook 发现了一个漏洞，这些漏洞让他挣到了将近 5000 美元。他一直坚持寻找漏洞，并且已经在HackerOne 上发现了 26 家公司系统存在的漏洞，光赏金就赚了 4 万多美元。

他也知道自己还有别的选择。一个政府的中间人曾经提议为 Wordpress 博客平台中的一个简单漏洞付给他 3000 美元，并说更严重的漏洞给的钱更多。但他拒绝了。“你不知道他们会如何利用这个漏洞，或者都有谁会利用它，”Beg 说。他还说，中间人想让黑客永远不要告诉别人他们发现的漏洞，这其实是减少了发现漏洞这个过程中的一部分乐趣。

HackerOne 上汇聚了大约 1500 名黑客。他们已经修复了大约 9000 个漏洞，共收到 300多万美元赏金。对于刚刚开始考虑支付漏洞发现奖金的公司来说， HackerOne 是一个汇集了声誉良好的黑客的平台，并且还帮助它们处理了整个过程里的文书工作，比如报税和支付。

HackerOne 并不是唯一一家做这个业务的公司。它还要和创立了这种奖励计划的Facebook、微软和 Google 展开竞争（公司创始人也出自这些企业，HackerOn e的顾问 Chris Evans 也是 Google 的漏洞发现奖励计划的开创者。）一些公司，比如联合航空（United Airlines），最近也启动了自己的漏洞发现奖励计划。一位安全研究人员在Twitter 上发消息，公布了联合航空飞机机上 Wifi 系统存在的一个漏洞，并且告诉 FBI 说他已经在坐飞机的时候仔细查看了飞机的网络。随后，联合航空开始给发现漏洞的黑客赠送免费的常旅客优惠里程。

HackerOne 的竞争对手还有 Bugcrowd，它是一家类似的创业公司，向公司收取年费，帮助它们管理漏洞发现奖励计划。Bugcrowd 的客户都是些年轻的公司，比如 Pinterest，还有像西联汇款这样的机构。

HackerOne 和它的竞争对手们可能会在未来的几个月里面临一个重大的监管障碍。政府正在考虑对《瓦森纳协定（Wassenaar Arrangement）》进行修改――它是由 41 国在 20年前签署的一个出口管制协定，签署国包括俄罗斯、一些欧洲国家和美国，它要求研究人员在向签署国以外国家的公司递交漏洞信息之前，必须得到相关国家政府的许可。

“政府可能不会在乎严重性较低的问题，但关键的漏洞可就是另一回事了，” Bugcrowd  负责安全运营的高级总监 Kymberlee Price 说，“对于研究人员是否可以把漏洞信息告诉花旗银行这件事，我们真的该让俄罗斯政府参与决定吗？”

翻译 is译社 葛仲君