我有錢，你有0day嗎？

02-08

繼各IT巨頭宣布成立漏洞獎勵計劃之後，安全公司Exodus也宣布成立自己的漏洞獎勵計劃。但是它的漏洞獎勵計劃卻與眾不同，它更看重的0day漏洞的價值。

國外，微軟、谷歌、Facebook、蘋果等都已成立自己的應急響應中心，藉助外界的力量鞏固自家產品的安全；國內，百度、阿里巴巴、騰訊同樣也成立了應急響應中心，並成良性發展中。

在剛剛過去的Black Hat大會上，蘋果公司宣布今年9月份將成立應急響應中心，並且公布了漏洞獎金池，非常誘人。

固件安全漏洞：最高可達200000美元信息泄露漏洞：最高可達100000美元內核許可權上的任意代碼執行漏洞：最高可達50000美元沙盒逃逸漏洞：最高可達25000美元未授權訪問漏洞：最高可達50000美元

Exodus宣布成立新的研究贊助計劃(ResearchSponsorship Program)，專註於獲取全球網路安全研究群體的漏洞研究和漏洞利用。它除了繼續0day漏洞研究之外，還會為0day漏洞利用提供獎勵。

我們都知道0day漏洞交易市場上，參與交易的角色除了黑客之外，還有眾多的私有企業和國有企業，他們願意花大量的財力在熱門產品的0day漏洞exp上。而如今，Exodus也想從這一市場中分一杯羹，只要你願意每年支付20萬美元的訂閱費，它就會為你提供漏洞和漏洞exp詳情。

Exodus對iOS漏洞的獎勵高出蘋果最高獎金的2倍，並且iOS9.3及以上版本的0day漏洞最高可獎勵50萬美元。除了獎金額度很高以外，如果0day漏洞持續有效，Exodus還會每季度給予一定的獎勵。

「對於每個新0day漏洞，Exodus將向研究人員提供首期付款，申請審核通過後發放。一旦通過，如果0day漏洞繼續有效，研究人員每個季度還會獲得一筆獎金。首期付款和季度獎金的具體金額將包含在報價之內，於審查工作之後發放。另外，Exodus還可以比特幣的形式支付0day漏洞研究。」

所以，很顯然，漏洞獵人找到漏洞之後會聯繫像Exodus這樣的公司，而不是直接報告給蘋果、谷歌等直接公司。除了Zerodium之外，Exodus是第二家公開0day漏洞價格的公司。

如果你是一名安全研究員或者黑帽黑客，找到這樣的0day漏洞，你會提交給官方還是Exodus呢？

註：本文參考來源於securityaffairs 原載時間2016年8月11日