近期,漏洞悬赏平台HackerOne宣布,旗下两名会员通过参与漏洞赏金计划,帮助大量公司修复安全漏洞,各自累计获得超过100万美元的奖励。
在HackerOne在周五发布的2019黑客报告中,提及了很多关于漏洞赏金计划的有趣统计。超过30万名安全研究人员在HackerOne上注册,共挖掘出10万多个漏洞,发出4200万美元的奖金。
报告表示:“前几年的漏洞奖金加起来一共才1900万美元。而2018全年,就发出去1900万美元的奖励。”
第一个通过HackerOne获得超过100万美元奖金的黑客是来自阿根廷的Santiago Lopez。
Lopez是一名年仅19岁的黑客,绰号为“try_to_hack”,自2015年起成为HackerOne的一员。这位年轻的黑客已经通过HackerOne发现了1600多个漏洞,其包括Twitter和Verizon的漏洞,很擅长发现IDOR类的漏洞。
美联社的一篇文章写道:“像许多黑客一样,Lopez是自学成才的。在看到黑客电影后,他第一次感受到了这个职业的魅力,并通过免费在线教程和热门安全博客学习黑客技术。在2015年,16岁的他注册了HackeOne,并在一个月后获得了第一笔50美元的漏洞奖金。他给自己取名“try_to_hack”,就是时刻提示自己要保持挖洞的热情。他到今天一直用着这个绰号,他不会忘记是如何成为一个漏洞挖掘者的。”
“在过去的三年中,他将所有的时间投入挖掘漏洞的工作中,仅凭漏洞奖金就累计获得100万美元,这是了布宜诺斯艾利斯软件工程师平均工资的40倍。”
第二个获得超过100万美元的黑客是Mark Litchfield,他的绰号是“mlitchfield”。Litchfield发现了来自全球大型公司的数百个软件漏洞,包括Dropbox、Yelp、Venmo、Starbucks、Shopify和Rockstar等。
报告中的最有趣的发现之一是来自非洲国家的黑客也很活跃。
大多数黑客年龄在35岁以下,81%的人声称自己已经掌握了黑客知识。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/81839/breaking-news/bug-bounty-hackerone-report.html