俄國資安業者卡巴斯基實驗室(Kaspersky Lab)本周趁著「黑帽駭客大會」( Black Hat USA Conference)與HackerOne合作推出抓漏獎勵計畫,首波將祭出5萬美元的獎金吸引全球資安研究人員尋找卡巴斯基的安全產品漏洞。
該實驗室的第一階段抓漏獎勵計畫於周二(8/2)正式展開,限期6個月,鎖定的產品為Kaspersky Internet Security及Kaspersky Endpoint Security,有效的漏洞包括本地端權限擴張漏洞、使用者資料外洩漏洞,以及遠端程式攻擊漏洞,除了第一項漏洞平均可獲得1000美元的獎金之外,第二與第三項漏洞平均可得到2000美元的獎勵。
第一階段的抓漏獎勵僅限上述兩款桌面產品,線上服務或其他網路服務的安全漏洞並不在此次的獎勵範圍內,卡巴斯基實驗室將根據第一階段的成果來決定下一階段應納入該專案的產品或服務。
其實資安業者執行抓漏獎勵計畫並不少見,只是多半未公開。漏洞獎勵平台HackerOne技術長Alex Rice向eWeek透露,有許多資安業者透過私下及邀請方式於該平台執行相關計畫。其他大方鼓勵全球資安業者人員參與抓漏的資安業者則有Cylance及Glasswire等。
卡巴斯基實驗室表示,網路威脅漸趨複雜,資安業者必須不斷地利用有效的工具來提供最完善的保護,抓漏獎勵則是個既有效又安全的方式,得以刺激外部的研究人員協助尋找安全漏洞並向業者回報,以讓業者能夠及早修補漏洞以避免讓客戶曝露於風險中。