报告称无业黑客最高能年赚50万美元 靠测试漏洞赚赏金

[ 摘要 ]通过搜索安全漏洞，并在特斯拉等大公司报告安全问题，自由职业黑客中的精英分子每年可以赚逾50万美元，前50名黑客平均每年赚14.5万美元。

腾讯科技讯 据外媒报道，根据道德黑客平台Bugcrowd发布的新数据显示，通过搜索安全漏洞，并在特斯拉等大公司和国防部这样的组织中报告系统的问题，自由职业黑客中的精英分子每年可以赚逾50万美元。

Bugcrowd公司成立于2012年，是少数几家所谓的“漏洞赏金”公司之一，这些公司为黑客提供了一个平台，让他们在希望接受测试的公司中安全地追踪安全漏洞。

黑客们为某家公司制定了一份定义明确的合同，当他们能够在公司的架构中发现一个缺陷时，他们就会得到赏金，而赏金多少取决于问题的严重性。

Bugcrowd首席执行官凯西·埃利斯(Casey Ellis)表示，随着该领域数百万个职位空缺，各公司正在越来越多地寻找网络安全测试的替代方案。

据估计，到2021年，可能会有多达350万个网络工作岗位空缺。

埃利斯说，去年，该公司为一家大型科技硬件公司发现一项漏洞而获利11.3万美元。这也是该公司发现一个漏洞而获取的最大收益。数据显示，2018年的支付金同比增长37%。

调查显示，有一半的道德黑客，或者被雇渗透网络和计算机系统的安全专家，报告称都有全职工作。

约80%的人表示，这项努力帮助他们在网络安全领域找到了一份工作。埃利斯说，对于前50名黑客来说，平均每年在这项工作上的收入约为14.5万美元。

据埃利斯说，赚最多钱的黑客有一定的基本技能。

“黑客发现了一种特殊的安全漏洞后，就在不同的公司中反复寻找。他们将走遍网络空间，努力寻找尽可能多的机会来利用这一漏洞，“埃利斯说。

“他们也有很好的侦察技能，能够理解有可能对组织造成最大损害的因素。了解企业如何运作，或其基础设施是如何建设的，对这项工作这真的很有帮助，“他补充说。

虽然Bugcrowd中94%的黑客年龄在18岁到44岁之间，但仍有几个人还在读高中或中学。埃利斯说，进入公司的门槛很低，主要看技能水平。该平台上大约四分之一的黑客没有大学学位。

公司想找出安全漏洞

为了防范网络攻击，公司一直在使用一系列方法，让拥有黑客技能的人测试他们的防御能力。一些公司使用内部渗透测试人员，经常把他们放在所谓的“红队”中，扮演恶意团体角色，以试图摧毁公司服务器或窃取信息。

其他公司则使用提供这项服务的咨询公司，或者像Bugcrowd、HackerOne、Synack和Cobalt这样的根据查找漏洞来发赏金的公司。或者，只要任何人能发现问题，只需向公司发送电子邮件即可。

埃利斯说，根据漏洞发赏金提供了一种更正式的方法，黑客必须遵守规则，例如不能从服务器跳到其他具有更敏感数据的服务器上进行测试。

IJET和特斯拉会根据黑客发现的问题的严重程度，向黑客支付1000至1.5万美元的赏金。万事达卡最多向黑客支付过3000美元。

今年10月，美国国防部将“入侵五角大楼”（Hack the Pentagon）奖项授予 Bugcrowd和HackerOne，以表彰他们的众包项目。（腾讯科技审校/羽佳）