这家公司竟然说服谷歌允许遭受黑客攻击
一个叫Bugcrowd的创业公司已经建立了一个全球黑客网络,目前已经有11,700名黑客成员,并且这一数字还在增长。这些黑客的任务是寻找软件和网站的漏洞,就像训练有素的警犬。
当黑客发现漏洞,他们就会得到报酬。他们发现的漏洞越多,就越有可能被邀请进入一个公司网络的更敏感部位。他们被邀请攻击了像谷歌(微博)、Dropcam、Pinterest和一些银行的网络,而这些被攻击的企业对此再乐意不过了。
自从Bugcrowd联合创始人、CEO凯西·埃利斯(Casey Ellis)和CTO克里斯·拉特克(Chris Raethke)建立该公司两年以来,它已成为一个杰出的公司。Bugcrowd不但为高科技界的一些最知名公司工作,它还挖走了安全行业的一些名人,像马里萨·费根(Marisa Fagan)——他创建了一个类似的社区,其黑客成员来自Facebook。
Bugcrowd的这种“众包安全测试”之所以成功,原因是它解除了安全性测试给企业带来的痛苦和恐惧。很久以前,好人黑客(被称为“白帽”或安全研究员)意识到,如果你为黑客发现的网络漏洞付费,你就可以推动黑客由坏人变成好人,使他们不再为邪恶目的而攻击网络。
这种“众包安全测试”被称为漏洞奖励计划。虽然像微软和Facebook这样的大公司都有自己的漏洞奖励计划,但其他企业没有,而且它们有充足的理由。
埃利斯在接受BI采访时表示,他从企业听到的普遍担忧是:“如果我的开发人员在某一天做得很糟糕,制造了含有一大堆漏洞的软件,然后这些漏洞被为希望领赏的黑客发现了,我们该怎么办?我该拿出一百万美元吗?我怎么确定这些黑客都是谁,我能信任他们吗?”
通过与Bugcrowd签约,这些公司不再需要担心这些事情。有些公司为每个漏洞提供的赏金很少(100至1500美元),还有一些公司的奖赏只是“荣誉”。这是因为漏洞猎人需要在安全行业建立街头荣誉。
一旦漏洞猎人寻找了找到很多漏洞,他们的排名就会上升,Bugcrowd就会在审核之后为他们提供更高薪水的工作,进入更敏感的计算机系统(这种黑客行为被称为“渗透测试(penetration testing)”)。
有时,Bugcrowd甚至能够提供就业机会。“一个家伙被特斯拉聘请了,他在我们的黑客中排名第三,他不是职业的安全人员,只是利用业务时间为Bugcrowd工作。”
埃利斯说,谷歌其实有一个很大的漏洞赏金计划,每年向黑客支付超过270万美元奖励,但它仍然成为Bugcrowd的首批客户之一。
Bugcrowd已经成名。现在,Bugcrowd为几十家公司运作漏洞奖励计划。它已经从Squarepeg Capital、圣骑士资本集团(Paladin Capital Group)和圣骑士资本集团(Paladin Capital Group)等公司那里筹集了170万美元。
相关文章
- 2条评论
- 余安千夜2022-05-31 12:49:35
- 全人员,只是利用业务时间为Bugcrowd工作。” 埃利斯说,谷歌其实有一个很大的漏洞赏金计划,每年向黑客支付超过270万美元奖励,但它仍然成为Bugcrowd的首批客户之一。 Bugcrowd已经成名。现在,
- 听弧山柰2022-05-31 11:58:27
- Bugcrowd已经成名。现在,Bugcrowd为几十家公司运作漏洞奖励计划。它已经从Squarepeg Capital、圣骑士资本集团(Paladin Cap