Bugcrowd聯(lián)合創(chuàng)始人、CEO凱西·埃利斯(Casey Ellis)和CTO克里斯·拉特克(Chris Raethke)
一個叫Bugcrowd的創(chuàng)業(yè)公司已經(jīng)建立了一個全球黑客網(wǎng)絡(luò),目前已經(jīng)有11,700名黑客成員,并且這一數(shù)字還在增長。這些黑客的任務(wù)是尋找軟件和網(wǎng)站的漏洞,就像訓(xùn)練有素的警犬。
當(dāng)黑客發(fā)現(xiàn)漏洞,他們就會得到報酬。他們發(fā)現(xiàn)的漏洞越多,就越有可能被邀請進(jìn)入一個公司網(wǎng)絡(luò)的更敏感部位。他們被邀請攻擊了像谷歌、Dropcam、Pinterest和一些銀行的網(wǎng)絡(luò),而這些被攻擊的企業(yè)對此再樂意不過了。
自從Bugcrowd聯(lián)合創(chuàng)始人、CEO凱西·埃利斯(Casey Ellis)和CTO克里斯·拉特克(Chris Raethke)建立該公司兩年以來,它已成為一個杰出的公司。Bugcrowd不但為高科技界的一些最知名公司工作,它還挖走了安全行業(yè)的一些名人,像馬里薩·費(fèi)根(Marisa Fagan)——他創(chuàng)建了一個類似的社區(qū),其黑客成員來自Facebook。
Bugcrowd的這種“眾包安全測試”之所以成功,原因是它解除了安全性測試給企業(yè)帶來的痛苦和恐懼。很久以前,好人黑客(被稱為“白帽”或安全研究員)意識到,如果你為黑客發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞付費(fèi),你就可以推動黑客由壞人變成好人,使他們不再為邪惡目的而攻擊網(wǎng)絡(luò)。
這種“眾包安全測試”被稱為漏洞獎勵計劃。雖然像微軟和Facebook這樣的大公司都有自己的漏洞獎勵計劃,但其他企業(yè)沒有,而且它們有充足的理由。
埃利斯在接受BI采訪時表示,他從企業(yè)聽到的普遍擔(dān)憂是:“如果我的開發(fā)人員在某一天做得很糟糕,制造了含有一大堆漏洞的軟件,然后這些漏洞被為希望領(lǐng)賞的黑客發(fā)現(xiàn)了,我們該怎么辦?我該拿出一百萬美元嗎?我怎么確定這些黑客都是誰,我能信任他們嗎?”
通過與Bugcrowd簽約,這些公司不再需要擔(dān)心這些事情。有些公司為每個漏洞提供的賞金很少(100至1500美元),還有一些公司的獎賞只是“榮譽(yù)”。這是因?yàn)槁┒传C人需要在安全行業(yè)建立街頭榮譽(yù)。
一旦漏洞獵人尋找了找到很多漏洞,他們的排名就會上升,Bugcrowd就會在審核之后為他們提供更高薪水的工作,進(jìn)入更敏感的計算機(jī)系統(tǒng)(這種黑客行為被稱為“滲透測試(penetration testing)”)。
有時,Bugcrowd甚至能夠提供就業(yè)機(jī)會。“一個家伙被特斯拉聘請了,他在我們的黑客中排名第三,他不是職業(yè)的安全人員,只是利用業(yè)務(wù)時間為Bugcrowd工作。”
埃利斯說,谷歌其實(shí)有一個很大的漏洞賞金計劃,每年向黑客支付超過270萬美元獎勵,但它仍然成為Bugcrowd的首批客戶之一。
Bugcrowd已經(jīng)成名。現(xiàn)在,Bugcrowd為幾十家公司運(yùn)作漏洞獎勵計劃。它已經(jīng)從Squarepeg Capital、圣騎士資本集團(tuán)(Paladin Capital Group)和圣騎士資本集團(tuán)(Paladin Capital Group)等公司那里籌集了170萬美元。