新闻快讯
< >

Exodus推出漏洞悬赏计划 奖金最高50万美金

几乎每个IT巨头都推出了漏洞奖励计划,最近的要数苹果公司上周在黑帽大会期间宣布首期漏洞奖励计划。“漏洞狩猎”公司Exodus也宣布推出漏洞奖励计划。

苹果产品的漏洞赏金计划

苹果奖励很有意思。对安全启动固件组件的漏洞奖励高达20万美元;对从Secure Enclave处理器上提取敏感数据的漏洞奖励最高10万美元;对内核权限和未授权获取iCloud账数据的恶意代码执行奖励高达5万美元;对从沙盒进程中获取沙盒外用户数据的漏洞奖励高达2.5万美元。

但是我们知道零日市场的私有企业和国家单位众多,它们决定为最热门产品的未知漏洞利用提供更诱人的奖金。

Exodus公司宣布新的研究赞助计划(Research Sponsorship Program),专注于获取全球网络研究研究群体的漏洞研究和漏洞利用。该公司发布官方声明称,继续获取零日研究,同时研究赞助计划是第一个广泛可用的收购计划,为执行零日漏洞利用提供奖励。

Exodus为零日漏洞研究推出新的奖金结构。 Exodus将为每年支付大约20万美元的订阅用户提供漏洞和漏洞利用详情。

对比Exodus与苹果公司的奖励计划

Exodus对iOS漏洞的奖励高出苹果最高奖金的2倍,Exodus将为iOS 9.3以上版本的零日漏洞最高奖励50万美元。

很显然,目前“漏洞猎人”会竭尽全力寻找漏洞联系像Exodus这样的公司,而不是苹果,因为零日漏洞利用的奖励更具诱惑性。“漏洞猎人”更青睐Exodus,还有另一原因, 在零日漏洞仍有效的情况下,Exodus每个月季度会支付额外赏金。

Exodus 在声明中还指出,“对于每个新的零日漏洞,Exodus将向研究人员提供首期付款,在申请被审核通过后发放。一旦通过,在零日仍有效的情况下,研究人员每 个季度还会获得一笔奖金。首期付款和季度奖金的具体金额将包含在报价之内,于审查工作之后发放。另外,Exodus还以比特币的形式支付零日漏洞研究。”

尚不清楚具体攻击的具体奖励金额

苹果公司和Exodus计划有不同之处。苹果列出了具体覆盖的漏洞范围。而Exodus未指出任一特定iOS目标,因此尚不清楚哪种类型的攻击会奖励50万 美元。 Exodus情报的总裁Logan Brown向Motherboard透漏,最高50万美元漏洞奖励授予执行远程代码和具有持续能力的漏洞完整链条。他表示,“我们要求可靠的漏洞利用,因 此我们的计划不同于苹果公司,因为苹果对安全架构的漏洞感兴趣,而不要求漏洞利用。”

去年,安全公司Zerodium斥资100万美元寻找能破解iPhone的黑客成为了头条,并且是一次性支付。Zerodium对iOS漏洞利用的奖励已经减少至50万美元。

除了奖金更高以外,任何人都可以在Exodus网站注册提交漏洞,而苹果的漏洞奖励计划目前只接受邀请。

Exodus 公布价格代表零日市场出现一种新兴趋势。之前这种交易只是私下进行,Exodus目前是第二家公布价格的公司,位于Zerodium之后。 Exodus“当前漏洞列表”还包括谷歌Chrome,微软EDGE和Firefox,同时该公司同时还会奖励已知漏洞的利用。

Exodus的漏洞赏金计划对外开放,任何人都可以提交,而其它计划都只接受邀请。

感兴趣的朋友去Exodus官网瞧一瞧吧!

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。