查看原文
其他

Exodus推出漏洞悬赏计划 奖金最高50万美元

2016-08-11 E安全 E安全


 几乎每个IT巨头都推出了漏洞奖励计划,。“漏洞狩猎”公司Exodus也宣布推出漏洞奖励计划。

苹果产品的漏洞赏金计划

苹果奖励很有意思。;对从Secure Enclave处理器上提取敏感数据的漏洞奖励最高10万美元;对内核权限和未授权获取iCloud账数据的恶意代码执行奖励高达5万美元;对从沙盒进程中获取沙盒外用户数据的漏洞奖励高达2.5万美元。

但是我们知道零日市场的私有企业和国家单位众多,它们决定为最热门产品的未知漏洞利用提供更诱人的奖金。

Exodus公司宣布新的研究赞助计划(Research Sponsorship Program),专注于获取全球网络研究研究群体的漏洞研究和漏洞利用。该公司发布官方声明称,继续获取零日研究,同时研究赞助计划是第一个广泛可用的收购计划,为执行零日漏洞利用提供奖励。

Exodus为零日漏洞研究推出新的奖金结构。 Exodus将为每年支付大约20万美元的订阅用户提供漏洞和漏洞利用详情。

对比Exodus与苹果公司的奖励计划

Exodus对iOS漏洞的奖励高出苹果最高奖金的2倍,Exodus将为iOS 9.3以上版本的零日漏洞最高奖励50万美元。

很显然,目前“漏洞猎人”会竭尽全力寻找漏洞联系像Exodus这样的公司,而不是苹果,因为零日漏洞利用的奖励更具诱惑性。“漏洞猎人”更青睐Exodus,还有另一原因, 在零日漏洞仍有效的情况下,Exodus每个月季度会支付额外赏金。

Exodus在声明中还指出,“对于每个新的零日漏洞,Exodus将向研究人员提供首期付款,在申请被审核通过后发放。一旦通过,在零日仍有效的情况下,研究人员每个季度还会获得一笔奖金。首期付款和季度奖金的具体金额将包含在报价之内,于审查工作之后发放。另外,Exodus还以比特币的形式支付零日漏洞研究。”

尚不清楚具体攻击的具体奖励金额

苹果公司和Exodus计划有不同之处。苹果列出了具体覆盖的漏洞范围。而Exodus未指出任一特定iOS目标,因此尚不清楚哪种类型的攻击会奖励50万美元。 Exodus情报的总裁Logan Brown向Motherboard透漏,最高50万美元漏洞奖励授予执行远程代码和具有持续能力的漏洞完整链条。他表示,“我们要求可靠的漏洞利用,因此我们的计划不同于苹果公司,因为苹果对安全架构的漏洞感兴趣,而不要求漏洞利用。”

去年,安全公司Zerodium斥资100万美元寻找能破解iPhone的黑客成为了头条,并且是一次性支付。目前Zerodium对iOS漏洞利用的奖励已经减少至50万美元。

除了奖金更高以外,任何人都可以在Exodus网站注册提交漏洞,而苹果的漏洞奖励计划目前只接受邀请。

Exodus公布价格代表零日市场出现一种新兴趋势。之前这种交易只是私下进行,Exodus目前是第二家公布价格的公司,位于Zerodium之后。

Exodus“当前漏洞列表”还包括谷歌Chrome,微软EDGE和Firefox,同时该公司同时还会奖励已知漏洞的利用。

Exodus的漏洞赏金计划对外开放,任何人都可以提交,而其它计划都只接受邀请。

感兴趣的朋友去瞧一瞧吧!(请前往E安全门户网站www.easyaq.com进行查看)

E句话:希望赚钱买房买车的白帽子们可以参与哦!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存