4月9日,记者终于有机会见到了补天平台上贡献排名第一的a0。在360补天平台的颁奖台上,显得有些腼腆,谈获奖感言的时候也有一丝哽咽。但谁曾想,正是这位不太善于言表的年轻人,在补天平台累计提交有效漏洞929个,精品漏洞171个,其中既有涉及各大运营商而导致上亿用户信息泄露的漏洞,也有可泄露几千万居民信息的社保系统网站漏洞,可谓真正的“漏洞挖掘之王”。
和a0同样身份的白帽子,在补天平台有20000多名。截至2015年11月18日,补天平台收录的网站漏洞中,共有1410个漏洞可能造成个人信息泄露,可能泄露的个人信息量高达55.3亿条。他们用技术捍卫了上亿人的信息安全。
可能有人会有这样的疑问:一个漏洞价值几何?此前有媒体报道,包括谷歌、脸谱和Mozilla,都提供价值数千至上万美元的“漏洞赏金”计划,以鼓励外部的破解高手寻找企业的漏洞。但是,网络黑市的买主却能拿出10倍甚至更高的价格购买这些漏洞。一旦这些漏洞被“黑色产业”利用,轻则泄露个人或企业机密信息,对企业生产经营造成重大损失,严重的可能涉及国家安全,后果难以想象。
以往,白帽子通过第三方平台将漏洞提交给企业后,由于沟通过程周转繁琐,往往需要数天。由此造成在漏洞获得企业修复前被二次利用,导致大批用户信息泄露,企业网络多次遭到攻击。另外,白帽子为中国网络安全立下了汗马功劳,然而触碰红线的事情却时有发生。一直以来,法律红线问题都是悬在白帽子们头上的一把利剑。
补天漏洞平台负责人林伟表示,补天漏洞平台一直致力于做白帽子的精神家园,帮助更多的白帽子脱离黑产,用他们的技术能力为国家网络安全作出贡献。一方面,补天平台通过举办法律培训帮助白帽子普及法律常识,树立法律意识;另一方面,补天平台依靠丰富的奖金机制为白帽子漏洞挖掘提供物质支持。林伟表示,补天平台是360互联网安全创新中心旗下一支安全研究团队,也是国内首个现金奖励漏洞平台,就是要在厂商和白帽子之间建立起一个沟通桥梁。补天将争取发放更多的奖金,与更多的厂商合作,构建更加安全的网络环境。
与此同时,补天平台还首次推出面对广大企业用户的补天众测服务。据了解,“补天众测”是补天漏洞响应平台为企业量身打造的安全测试服务,将针对互联网厂商、金融行业厂商、软件外包厂商、智能硬件厂商等关注安全的厂商提供安全众测服务。补天众测可以针对网站、APP客户端、内网、硬件等特定系统进行漏洞监测,针对性更强,监测效果也更加深入。
