蘋果今日宣布將推出「漏洞賞金計畫」,只要回報漏洞就能獲得現金獎勵,最高獎金為20萬美元(約636萬台幣)。該計畫預計在9月展開,這也是蘋果第一次提出資安漏洞獎勵計畫。
(圖說:蘋果的漏洞賞金計畫預計在9月開始。圖片來源:pexels)
抓漏洞是一門大生意
網路科技公司握有許多個人資料,包含付款細節、健康紀錄、聊天內容等,資安議題顯得越來越重要。為了更快找到資安漏洞,過去許多公司紛紛發布漏洞獎勵計畫,包含Facebook、Google、微軟、Tesla和Yahoo,都已推行多年。
相較之下,雖然蘋果一直高呼安全口號,卻遲遲未開放漏洞獎勵機制。蘋果過去曾表示,政府和黑市對發現漏洞給予高報酬,是蘋果不願加入此市場的原因之一。《TechCrunch》報導指出,儘管蘋果提出最高獎勵金20萬美元,已是提供漏洞獎勵計畫公司中的最高價,卻還是遠遠不及政府執法或黑市的開價。例如,FBI去年為了調查Syed Farook槍擊案件,提出近1百萬美元的報酬以破解犯人使用的iPhone。
獎勵從5萬到20萬美元不等
蘋果此次推出的獎勵計畫,隨著漏洞影響程度不同,獎勵金從5萬美元(約159萬台幣)到20萬美元(約636萬美元)不等。金額最高的種類為發現蘋果的「安全開機(Secure boot)」韌體漏洞,用來防止未授權程式自行啟動。不過這項計畫採邀請制,目前僅開放20幾名研究人員,未來將開放更多人加入。
各家公司在漏洞獎勵砸下不少錢,去年Google就為此付出2百萬美元(約6,359萬台幣),大多是來自Android的漏洞。微軟則是自3年前推出該計畫,迄今已付出150萬美元(約4,770萬台幣)的獎勵金,最高支付獎勵為10萬美元(約318萬美元)。Facebook採更開放的漏洞回報機制,5年來已付出4百萬美元(約1.27億台幣)獎勵金,以去年來說,平均每筆獎勵為1,780美元(約5.7萬美元),3月一名芬蘭10歲小孩發現Instagram漏洞,因此獲得Facebook的1萬美元(約31.8萬台幣)獎勵金。
