哪家公司的漏洞獎勵最高?

Facebook自開啟漏洞獎勵計劃,5年內向900位安全研究員發放了近500萬美元的獎金。僅今年上半年就向149位安全研究員發放了611741美元的獎金,獲獎的安全研究員大部分來自於印度、美國、墨西哥。

Facebook漏洞獎勵計劃組的安全工程師Joey Tyson稱,在2016年1月至6月期間,他們已經收到了9000份安全報告,相比較於去年一年13233份報告的數據,這絕對堪稱一次峰值。

近年來,Facebook已經精鍊了他們的項目計劃。每位獲得漏洞獎勵的安全研究員都會發現,他們在收到漏洞獎勵通知的同時,還會收到一份詳細漏洞獎勵明細。

「我們對漏洞危害程度的評價是基於漏洞真實的危害,而不是感官上的危害,並且我們還會分享每項獎金背後的想法。」n

比如,上個月,來自印度的安全研究員Arun Sureshkumar因提交了一個安全漏洞,獲得了16000美元的獎勵。隨後,Facebook安全團隊的Neal Poole便給他詳細說明了這份獎金的評判細則。因為Arun Sureshkumar提交的這個漏洞能拿到頁面的控制許可權,並且他們在修復這個漏洞的時候還發現了另外一個相關的問題,所以綜合考慮就給予了16000美元的漏洞獎勵。

Facebook是最早一批開啟漏洞獎勵計劃的公司,同期的還有Google、Mozilla,但是早期Facebook的漏洞獎勵額度比較低,通常一個漏洞只有500美元,相比較於其他公司的獎勵額度,沒有什麼競爭力。

之後,Facebook便提升了漏洞獎勵額度。2013年向330位安全研究員發放了150萬美元的獎勵,2014年向321位安全研究員發放了130萬美元的獎勵,2015年向210位安全研究員發放了將近100萬美元的獎金。

今年2月份,來自芬蘭的一位10歲男孩在Instagram上發現了一個API漏洞,Facebook公司給予其10000美元的獎勵。

Facebook旗下的產品包括WhatsApp、Instagram、FacebookMessenger、Oculus、Atlas,甚至還包括osquery檢測工具。所以有能力的安全研究員均可從這些產品上找出安全漏洞,從而掙得不錯一份獎勵。

微軟的漏洞獎勵計劃:漏洞最低獎勵為500美元,最高可達10萬美元;nn蘋果也於今年開啟了漏洞獎勵計劃:單個漏洞最高可獲得20萬美元的獎勵;nn谷歌漏洞獎勵計劃:單個漏洞最低100美元,最高2萬美元;nnMozilla的漏洞獎勵計劃:單個漏洞最低500美元,最高300美元;nnWordPress漏洞獎勵計劃:單個漏洞最低100美元,最高1000美元;nnChromium的漏洞獎勵計劃:單個漏洞最低500美元,最高1.5萬美元。n

註:本文參考來源於thretpost

推薦閱讀:

如何將漏洞CVE-2017-1000112應用到其他內核上
macOS root賬戶登錄憑據驗證錯誤(CVE-2017-13872)漏洞分析
以DLink為例教你如何挖掘漏洞

TAG:漏洞 | 国外互联网 |