报道|郑美励   摄影|HackerOne提供、网络

要知道，所有系统或软体或多或少都有安全漏洞，被解决或酿成祸事只是早晚的问题。

作为企业创办人或领导人，你会怎么选？

1.先发制人，发赏金鼓励外人找出问题并解决？还是……

2.被动回应，等到问题爆开了才来解决？

许多知名企业如苹果、面簿、推特、Adobe等都选择了先发制人，这也催生了一种商业模式：付赏金给骇客协助企业找安全漏洞服务。

漏洞众测平台HackerOne近期发布骇客与网络安全的报告，本周《南洋商报》带你走进看起来有点神秘的骇客、赏金的世界。

说到骇客（Hacker，又称黑客），世人普遍存有负面印象，认定这群人专门搞破坏、唯利是图、不法之徒……等。

事实上，一个骇客是好、坏或者中间骑墙派，完全取决于他把技能运用在何处以及动机。除了不法、恶意且不受欢迎的行事方式，如今的年代，当个骇客还可以是善意、获得合法收入以及受到欢迎，这类骇客一般被称为白帽骇客（White Hat Hacker）。

骇客怎么摇身一变成为受欢迎的一群人？怎么办到？说穿了就是搞组织、商业化。在美国，就有漏洞众测平台的出现。

漏洞众测平台HackerOne开创了一种商业模式，汇集众多的骇客，一起为企业找出系统、代码、软体中的漏洞。

换言之，企业悬赏一笔金额，开放让“赏金猎人”（即骇客、安全专家、白帽研究员、开发者、安全爱好者等IT高手）来测试、攻击、入侵自己的系统、软体的安全程度，若对方找到漏洞或安全缺陷，就能领取这笔金额。

骇客找漏洞获悬赏

一些知名企业所如任天堂、Uber、谷歌、华为、星巴克、Spotify、Costa咖啡、面簿、腾讯等都曾发布漏洞悬赏计划，欢迎骇客找出漏洞，就曾有年仅10岁的小男孩发现了Instagram的安全漏洞（此漏洞允许任何人随意删除任何Instagram的图片注释和说明），并上报给面薄而获得了1万美元（约4万1625令吉）奖励。

发现漏洞进行修复

企业为什么要找外人测试、入侵自己的系统？防患于未然，目的是抢在恶意组织或公众之前发现漏洞，并进行适当的修复。这总比被不法之徒发动攻击或威胁甚至闹到举世皆知来得更好吧。

事实上不止私人企业，政府部门如美国国防部、新加坡政府均有推出漏洞悬赏计划。

●去年底苹果就发布赏金高达150万美元（约625万令吉）的漏洞悬赏计划，鼓励大家发现它的操作系统（iPadOS、macOS、tvOS、watchOS和iCloud的最新版本）中的主要缺陷。

在去年之前，苹果悬赏的最高奖金是20万，而且只向特定安全研究人员开放并且只接受iOS安全缺陷报告，而2019年的赏金创了历史新高而且公开予所有安全研究人员参加。

增加50%奖金

根据计划规定，奖金的获得相当严格。如果报告的漏洞是之前从未见过的，影响多个平台，涉及多个硬件和软件，以及影响敏感组件，这将使研究人员有更大的机会获得最高150万美元的奖励。

在beta版本中发现的漏洞也受到高度重视。苹果表示，它将在定期支付的基础上，为测试版中报告的任何漏洞增加50%的奖金。

●旗下拥有即时通讯软体Line，同时也涉及金融科技、人工智能等领域的LINE Corporation本身也有漏洞悬赏计划，但为了提高透明度并吸引更多骇客参与，去年就在HackerOne发布悬赏计划并已发布10万700美元（约44万5388令吉）的赏金，超过110个漏洞报告被解决。

LINE安全工程师罗宾伦德表示，在HackerOne发布悬赏计划可以吸引更多的参加者，也让该公司的服务被广泛的检查及测试。

逾千宗报告获解决

●网上支付平台Paypal掌握全球超过200个市场、3亿2500万个活跃用户的个人和财务资料，如果因为安全纰漏而外泄，后果不堪想像。

该平台自2012年开始推出漏洞悬赏计划，2018年改而在HackerOne平台发布有关的计划，短短半年就获得来自56个国家共890名安全研究人员（即骇客）发来的漏洞报告。

在漏洞悬赏计划推出的首7个月内该公司付了100万美元（约413万令吉），计划开展的首2年总计付了400万美元（约1665万令吉）的赏金，迄今已有1000宗的漏洞报告已解决。

亚太地区悬赏最高

根据报告，北美洲是发出最多漏洞悬赏计划的区域，按年增长69%，紧追在后的是欧洲、中东和非洲（20%），而亚太地区则是增长最高的区域，推出的安全漏洞悬赏计划的数量增长93%，如果按赏金计则是增长68%。如果以国家来看，亚太地区中的新加坡的漏洞悬赏计划增长了164%、中国成长67%，纽西兰则为40%。

光是在2019年，就有高达4475万美元（1亿8639万令吉）的赏金发给了全球各地的骇客，按年成长87%。

而美国则是赏金榜第一金主，去年共付了3910万美元（1亿6275令吉）予骇客，占了总数的逾87%。不过，论增幅惊人的却是西班牙、巴西和中国，分别按年成长4324%、1843%、1429%。

●在过去一年严重程度漏洞的平均赏金增加到3650美元（约1亿5193万），按年成长8%。平均而言，任何程度漏洞的赏金是979美元（约4032令吉），比去年的平均水平增长9%。

●按产业领域来看，相比其他产业，加密货币与区域链公司/组织推出最多的公开的漏洞悬赏计划。对电脑软体、互联网及网上服务产业来说，推出漏洞悬赏计划也是十分普遍的事，占了漏洞悬赏计划总数的近半数。其他产业如电脑硬体、消费人产品、教育、保健、媒体娱乐、零售及电子商务、金融服务及电脑软体也在陆续增长中。

●疫情催化骇客活动，新注册的骇客人数增加59%，投报的安全漏洞也增加了28%，随着疫情的爆发，企业支付的赏金也增加了29%。

未来5年成长1000%

骇客向来予人神秘，从事地下活动般的印象，透过HackerOne的骇客报告，揭开部份的神秘面纱。

根据报告，共有来自226个国家、超过83万名骇客向HackerOne平台登记（当中来自印度的骇客就占了19%），这群人经由找出18万1000宗安全漏洞而赚取超过1亿美元（约4亿1600万令吉）的收入。HackerOne预计未来5年将成长1000%。

84%自学成才

骇客，究竟都是一群什么人？59%的人形容自己把众测/入侵（众测）当成兴趣或打发时间、27%是学生、22%受雇佣全职从事众测、14%偶尔为雇主进行众测、18%是全职的骇客、11%是自雇人士、退休人士则是0.6%，其他为2%，这群人的骇客年资最长的可超过15年，但普遍来说以1年至5年占最多数，达到59%。

大多数骇客（87%）年龄低于35岁，84%是自学成才。超过53%的人的逾半收入是来自于众测，而22%的人把众测当成唯一的收入来源。

虽然金钱是其中一个主要动力，但不要以为骇客眼中只有钱，调查显示只有53%是为了钱而入侵企业的电脑系统、网络安全，事实上多达68%的骇客搞众测是因为他们享受挑战的过程，试想，某知名公司的安全漏洞被你找出来，这难道不是一种成就感？！

44%欲提升事业

也有一部分的人认为从事众测有助于事业发展。44%说他们骇入是为了提升事业，80%说他们已经或打算利用骇入所学习到的知识与经验来找工作。还有一部分人则是从利他主义的角度出发。29%的人骇入是为了保护和防御，而27%则是做好事。在“Hack for Good”计划下，骇客社区捐赠3万美元（约12万4900令吉）予世界卫生组织充作防疫之用。