「我幾乎馬上拿到獎金,感覺真的很驚人,從那時候開始,我就決定繼續嘗試。」今年17歲來自烏拉圭的佩雷拉(Ezequiel Pereira)說。
如何讓整個世界成為你的智囊團?結合群眾的力量或許是最有力的作法,近來包括Facebook、Google等社群平台、網路服務商,為了確保系統的安全性,都推出漏洞通報獎勵計畫,透過高額獎金當獎勵,開放全世界用戶一起抓漏洞。
佩雷拉(Ezequiel Pereira)前前後後已經幫助Google揪出系統漏洞五次,今年他在Google應用服務引擎上發現的一項漏洞,獲得了36,337美元(約合新台幣108萬元)的獎金,除了成為個人紀錄史上金額最高的一次,也藉由「抓漏」替自己賺進了人生第一桶金。
成功五度抓漏,登上Google名人堂第12名
Google旗下的抓漏獎勵專案(Vulnerability Reward Program),依據漏洞的壞程度,提供抓漏者獎金,據Google統計,去年(2017)一整年總共向274名研究人員,發出290萬美元(約合新台幣8679萬元)的獎金,其中最高的一筆是112,500美元(約合新台幣336.69萬元)。
因成功五度抓漏,登上Google名人堂(Hall of Fame)第12名的佩雷拉(Ezequiel Pereira),今年才17歲。名人堂上為對Google抓漏計畫具有重大貢獻的研究人員以及專家們。
佩雷拉在10歲得到自己的第一台電腦後,花了幾年的時間自學程式語言,2016年佩雷拉贏得一場程式設計比賽,Google因此邀請他到位於加州的總部,就在同一年佩雷拉將滿17歲的前一個月,他成功抓到了Google的第一個漏洞,自此開啟了他的「抓漏人生」,不到17歲的男孩,憑著對技術的熱情,成功得到500美元(約合新台幣1萬4964元)的獎金,「我幾乎馬上拿到獎金,感覺真的很驚人,從那時候開始,我就決定繼續嘗試。」
抓漏的成就像是一個被啟動的開關,驅使佩雷拉不斷嘗試,去年7月他又發現了另一個漏洞,得到1萬美元(約合新台幣29萬9276元)獎金。
今年2月,他在Google應用服務引擎(Google App Engine,簡稱GAE)上上傳自己開發的App時,無意間成功登入GAE測試用的部署環境,發現了暴露內部的API,經測試後佩雷拉發現,他竟可以對平台上的App執行一般外部使用者無法執行的行為,通報後Google認定為遠端程式碼執行(remote code engine, RCE)漏洞,連同另一個比較小型的漏洞,佩雷拉獲得百萬獎金,Google已於本月初將問題修復,這筆獎金也是佩雷拉有史以來拿到最大筆獎金的一次。
熱情就是最大的娛樂
「我沒有紓壓管道,我看飛機就紓壓了。機場就是我的夜店!」星宇航空創辦人張國煒受訪時曾這麼說,當一個人對一件事情的熱情到了極致,那不僅只是他的專業,更能成為人生中最大的樂趣。
今年上大學的佩雷拉(Ezequiel Pereira)就是如此,他在家鄉烏拉圭首都蒙特維多(Montevideo) 主修電腦工程,除了念書,他說每天最大的娛樂,就是回家坐在電腦前找漏洞,去年夏天,他用抓漏獲得的獎金申請美國學校,想透過更好的教育完成更多自己喜歡的事,但佩雷拉一共申請了20間美國的學校,但卻一家都沒有上,於是他決定透過自學精進技術。
或許川流不止的困難才是人生的常態,佩雷拉分享,他身邊的朋友從來沒有人靠著自己發現系統漏洞,「他們是感興趣的,卻常常認為自己懂得不夠多,我總是跟他們說,去試就對了!這些事每個人都能學。」佩雷拉認為抓漏本就是一個不斷挖掘、嘗試的過程,鼓勵身邊的朋友應該大膽嘗試。
佩雷拉說目前的他還沒有新的計畫,打算努力存錢為未來做準備,希望未來可以拿到電腦安全的碩士學歷,而在這之前,他將會繼續努力的抓漏。
