近日，Hackone公布了2020年十大漏洞賞金項(xiàng)目TOP10榜單，該列表基于HackerOne項(xiàng)目目錄中的公共信息，排名依據(jù)每家企業(yè)在2020年4月(包括之前)向黑客支付的累計(jì)賞金總額。榜單排名具體如下(紅色字體為單項(xiàng)最高或最低數(shù)值)：

[[332989]]

第一名：Verizon Media

• 行業(yè)：數(shù)字媒體
• 總支付賞金：940.8萬美元
• 最高賞金：7萬美元
• 答謝黑客：1315名
• 解決報(bào)告問題：5928個(gè)
• 初次響應(yīng)時(shí)間：8小時(shí)
• 獎(jiǎng)金支付平均賬期：13天

第二名：Paypal

• 行業(yè)：互聯(lián)網(wǎng)金融、支付
• 總支付賞金：279萬美元
• 最高賞金：3萬美元
• 答謝黑客：371名
• 解決報(bào)告問題：755個(gè)
• 初次響應(yīng)時(shí)間：4小時(shí)
• 獎(jiǎng)金支付平均賬期：17天

第三名：Uber

• 行業(yè)：互聯(lián)網(wǎng)、共享出行
• 總支付賞金：241.5萬美元
• 最高賞金：5萬美元
• 答謝黑客：635名
• 解決報(bào)告問題：1466個(gè)
• 初次響應(yīng)時(shí)間：5小時(shí)
• 獎(jiǎng)金支付平均賬期：90天

第四名：英特爾

• 行業(yè)：半導(dǎo)體、芯片制造
• 總支付賞金：189.7萬美元
• 最高賞金：未知
• 答謝黑客：96名
• 解決報(bào)告問題：未知
• 初次響應(yīng)時(shí)間：未知
• 獎(jiǎng)金支付平均賬期：未知

第五名：Twitter

• 行業(yè)：互聯(lián)網(wǎng)、社交媒體
• 總支付賞金：128.8萬美元
• 最高賞金：2.016萬美元
• 答謝黑客：842名
• 解決報(bào)告問題：1160個(gè)
• 初次響應(yīng)時(shí)間：12小時(shí)
• 獎(jiǎng)金支付平均賬期：8天

第六名：GitLab

• 行業(yè)：軟件開發(fā)
• 總支付賞金：121.1萬美元
• 最高賞金：2萬美元
• 答謝黑客：250名
• 解決報(bào)告問題：581個(gè)
• 初次響應(yīng)時(shí)間：1小時(shí)
• 獎(jiǎng)金支付平均賬期：19天

第七名：Mail.ru

• 行業(yè)：互聯(lián)網(wǎng)、電子郵件
• 總支付賞金：111.9萬美元
• 最高賞金：2萬美元
• 答謝黑客：973名
• 解決報(bào)告問題：3333個(gè)
• 初次響應(yīng)時(shí)間：5小時(shí)
• 獎(jiǎng)金支付平均賬期：17天

第八名：GitHub

• 行業(yè)：軟件開發(fā)
• 總支付賞金：98.7萬美元
• 最高賞金：2.5萬美元
• 答謝黑客：310名
• 解決報(bào)告問題：535個(gè)
• 初次響應(yīng)時(shí)間：15小時(shí)
• 獎(jiǎng)金支付平均賬期：13天

第九名：Valve

• 行業(yè)：在線游戲、PC游戲平臺(tái)
• 總支付賞金：95.1萬美元
• 最高賞金：2萬美元
• 答謝黑客：322名
• 解決報(bào)告問題：589個(gè)
• 初次響應(yīng)時(shí)間：9小時(shí)
• 獎(jiǎng)金支付平均賬期：60天

第十名：Airbnb

• 行業(yè)：互聯(lián)網(wǎng)、在線旅游、共享房屋出租
• 總支付賞金：94.4萬美元
• 最高賞金：1.5萬美元
• 答謝黑客：353名
• 解決報(bào)告問題：775個(gè)
• 初次響應(yīng)時(shí)間：5小時(shí)
• 獎(jiǎng)金支付平均賬期：19天

由于HackOne的榜單僅有排名和基礎(chǔ)數(shù)據(jù)，以下，安全牛嘗試解讀這份榜單背后的隱含信息和趨勢(shì)：

• 漏洞賞金總額和最高賞金創(chuàng)新高。2020年漏洞賞金項(xiàng)目TOP10企業(yè)的總獎(jiǎng)金(累計(jì))已經(jīng)超過2300萬美元，其中Verizon Media已通過HackerOne的平臺(tái)向白帽黑客支付了近1000萬美元。

TOP10企業(yè)主要集中在互聯(lián)網(wǎng)金融、在線游戲、軟件開發(fā)、在線旅游、社交媒體幾大領(lǐng)域。這些企業(yè)的一個(gè)很大共同點(diǎn)就是存儲(chǔ)大量高價(jià)值用戶信息，是黑客的熱門攻擊目標(biāo)，數(shù)據(jù)泄露和違規(guī)事件不但會(huì)給平臺(tái)自身造成嚴(yán)重?fù)p失，同時(shí)也會(huì)波及其他行業(yè)。

• 再次強(qiáng)調(diào)漏洞披露的必要性。白帽黑客社區(qū)的漏洞披露規(guī)則向來是個(gè)頗具爭(zhēng)議性的話題。HackerOne首席技術(shù)官兼聯(lián)合創(chuàng)始人Alex Rice在一封電子郵件聲明中說：“在HackerOne，默認(rèn)披露是我們的價(jià)值觀之一。盡管這不是我們的客戶和黑客的強(qiáng)制性要求，但我們鼓勵(lì)每個(gè)客戶都考慮一下。通過分享我們?nèi)菀资艿焦舻牡胤?，其他防御者可以學(xué)習(xí)，道德黑客可以從中學(xué)習(xí)，最終我們都更加安全。”
• 2020年排名發(fā)生較大變化。2020年貝寶(PayPal)獎(jiǎng)金總額超越了優(yōu)步(Uber)，位居第二，后者降到了第三位。自2018年8月與HackerOne共同發(fā)起漏洞賞金計(jì)劃以來，Paypal迄今已支付了280萬美元，其中最高獎(jiǎng)金為3萬美元(自2012年以來的累計(jì)總獎(jiǎng)金為600萬美元)。

GitHub和Mail.ru都是今年前10名中的新成員。而GitLab則從2019年的第10位躍升至第6位，1月份支付了100萬美元。

• 漏洞響應(yīng)和賞金支付提速。白帽子黑客最喜歡的漏洞賞金計(jì)劃通常有三個(gè)特征，報(bào)告響應(yīng)迅速、支付金額高、支付速度快。為了吸引更多高水平白帽子黑客關(guān)注，TOP10漏洞賞金項(xiàng)目的漏洞響應(yīng)速度明顯加快，有五家企業(yè)的首次響應(yīng)時(shí)間不到5小時(shí)，其中Gitlab的響應(yīng)速度最快，在1小時(shí)內(nèi)。

從數(shù)據(jù)統(tǒng)計(jì)來看，總賞金排名第二的PayPal的首次響應(yīng)時(shí)間為4小時(shí)，平均漏洞獎(jiǎng)金賬期為17天，在TOP10中排名靠前，綜合表現(xiàn)堪稱標(biāo)桿。

PayPal的信息安全工程師Ray Duran近日在博客中寫道：“白帽黑客最好的漏洞提交方式很簡(jiǎn)單：有據(jù)可依，并證明其影響力。精心編寫的報(bào)告有助于減少來回的對(duì)話，使我們能夠快速進(jìn)入補(bǔ)救步驟并更快地獲得賞金。”

賞金支付方面，Github、Twitter和Verizon Media的支付賬期最短，能在接到報(bào)告后兩周內(nèi)打款，其中Twitter打款周期最短，只需要8天，顯著高于平均水平。Uber的打款周期最長(zhǎng)，平均需要90天，是Twitter的十幾倍。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文