全球60萬名白帽駭客都在這家公司!臉書、阿里巴巴、Uber的資訊安全把關全靠它

0
22043
圖片來源:HackerOne

HackerOne成立8年以來,致力聚集全球白帽駭客,集結他們的駭客力量,幫企業系統找出安全漏洞,打造更加安全的系統環境,一掃「駭客」的負面形象。

說到「駭客」,你會想到什麼?多數人的腦海裡,或許會浮現身著黑衣帽、坐在暗房中、眼睛同時盯著好幾個發亮螢幕的惡意角色吧,然而並非所有的駭客都試圖作惡,實際上,有許多駭客是透過幫助他人發現網路安全漏洞而維生,這樣的駭客被稱作「白帽駭客」。

最近,在市場上備受注目的HackerOne,就是這樣一家專門打造白帽駭客網絡的公司,集結了全球60萬名駭客的技術,為各大企業的資訊安全進行把關,根據《Fast Company》日前公布的2020世界50大創新企業排名,HackerOne高居第5名寶座。

當大部分企業依然擁抱傳統思維:靠內部的人力與技術等資源來預防駭客入侵的時候,HackerOne卻以反向思考獲得成功——與其站在系統內試圖補強,不如開放外部駭客來駭這套系統,能更快找到安全漏洞。

這家公司成立8年至今,包含Facebook、Uber、AT&T、阿里巴巴、PayPal等各家大型企業,都已經被HackerOne的駭客邏輯說服,成為客戶之一。

從童年延伸的駭客點子

HackerOne是由Jobert Abma與Michiel Prins兩位荷蘭人所創立,於1990年出生,他們倆從小就因為住在同一條街上而成為好友。從童年喜愛玩電玩遊戲、自製網站;到了青少年時,他們就成功駭進學校的電視台作為惡作劇玩笑;大學時期,意外發現學校用來管理學生資訊與成績的系統會洩露個人資料,在知會軟體開發商卻沒有獲得回饋後,卻萌生了一個新的念頭,假如幫其他公司找到軟體漏洞,或許會有人願意付錢作為報酬。

HackerOne的商業模式因此誕生。

2011年時,Abma與Prins曾經發信給Google與Facebook,希望能和他們內部員工見個面,談談系統安全,然而,沒有人回應,只有當時Facebook的產品安全總監亞利克斯・賴斯(Alex Rice)短暫說句,如果他們找到任何安全漏洞,歡迎再聯絡他們。

Abma與Prins就真的嘗試駭進Facebook Messenger,並且找到了一個大型安全漏洞,這個成果,替他們爭取到在Facebook總部屋頂一道烤肉派對的參加機會,最後更帶著合作合約走出Facebook。他們也因此認為,如果Facebook對這個服務有興趣,其他矽谷企業應該也會有,他們就這樣開始去聯絡其他科技公司,並且成立了HackerOne這家公司。

駭客與企業雙贏的商業模式

每套軟體系統一定都存在某種程度的安全威脅與漏洞,平均對每家企業來說,補救資料外洩事件的支出成本高達360萬美元(約1.08億元台幣),因此對企業來說,如果能在惡意駭客發現漏洞之前,找出並補救,就能省下更多的災難補救支出。

圖片來源:HackerOne

根據安全漏洞發現成果,每個在HackerOne平台上找到系統漏洞的駭客能夠獲得幾百美元至1萬美元不等(約3千至30萬元台幣)的金錢獎賞,根據發現的漏洞層級與企業,有時更會有超過1萬美元的高額回報。而HackerOne的角色則是處理金錢支付、稅務、駭客背景調查等法律問題,此外,註冊的駭客得支付HackerOne兩成的金錢獎賞,而企業夥伴則是支付幾千至幾萬美金不等的年訂閱費。

自2012年成立之今以來,HackerOne平台上目前共有超過60萬名註冊駭客,此平台更是在2019年快速成長,平均每日註冊駭客人數達到850人;平台上的駭客至今獲得的金錢獎賞已經超過8千萬美元(約24億元台幣),光是2019年就有511個案子獎賞達到最高金額1萬美元。據HackerOne表示,平台上已經有7個駭客獲得總獎金超過1百萬美元(約3千萬元台幣)。

HackerOne駭客網絡所解決的知名安全漏洞案件包含:

  • 美國聯邦政府Hack the Pentagon計畫:透過一個月的時間,平台上的駭客找到美國軍隊使用軟體的138個安全漏洞,此計畫成本為15萬美元(約450萬元台幣),但預計能省下美國國防部1百萬美元安全支出。

  • PayPal登入漏洞:HackerOne駭客發現PayPal的登入頁面,含有可能會把用戶私人資料洩露給惡意駭客的安全漏洞,駭客回報給PayPal後,他們在1天內處理好問題,並支付這名駭客15,300美元作為獎賞(約46萬元台幣)。

  • 美國第一資本金融公司(Capital One):HackerOne駭客找到第一資本系統中,會洩漏1億客戶信用卡申請資訊的安全漏洞,在資料外洩災難發生之前就先補救。

「相信」白帽駭客保平安

2017年底《路透社》的報導指出,一名20歲的駭客透過HackerOne負責找出Uber系統的安全漏洞,與其將找出的漏洞回報,這名駭客卻反過來透過漏洞偷走5,700萬筆Uber用戶與司機的個人資料,並且威脅Uber索取更大筆的金錢。

最後Uber透過HackerOne來了解這名駭客的身份,並且支付他10萬美元(約300萬台幣)作為他刪除這些資料的代價。事情最後雖然成功解決,但是也顯露出聘請外部駭客調查系統安全的風險。

為了消弭企業的風險疑慮,HackerOne於2019年推出HackerOne Clear計畫,當企業開放駭客參與內含機密資料的高敏感專案時,企業有權要求駭客簽署保密協議,加強企業方的安全性。

回到原點,當我們都拋棄對駭客的成見時,就能以另外一個面向去看這些人對科技產業所帶來的好處。

「我很驕傲看到我的工作成果被認可、獲得價值。不僅僅是為了錢,而是因為這樣的成就代表這些企業的資訊、以及用戶資訊,都比以前更加安全地防護著,這點才是令人讚賞的。」一名HackerOne駭客排名表上前段班的20歲阿根廷駭客,曾對外媒《ZDNet》這樣說道

發表評論

請輸入您的評論!
請在這裡輸入您的名字