2020年十大漏洞赏金项目

2020年6月25日，Hackone公布了2020年十大漏洞赏金项目TOP10榜单，该列表基于HackerOne项目目录中的公共信息，排名依据每家企业在2020年4月（包括之前）向黑客支付的累计赏金总额。榜单排名具体如下：

第一名、Verizon Media

行业：数字媒体

总支付赏金：9,408,000美元

最高赏金：7万美元

初次响应时间：8小时

奖金支付平均账期：13天

答谢黑客：1315名

解决报告问题：5928个

第二名、Paypal

[图片上传失败...(image-1504ef-1595852425311)]

行业：支付、互联网金融

总支付赏金：2,790,000美元

最高赏金：3万美元

初次响应时间：4小时

奖金支付平均账期：17天

答谢黑客：371名

解决报告问题：755个

第三名、Uber

[图片上传失败...(image-d8be12-1595852425311)]

行业：共享出行、互联网

总支付赏金：2,415,000美元

最高赏金：5万美元

奖金支付平均账期：90天

初次响应时间：5小时

答谢黑客：635名

解决报告问题：1466个

第四名、Intel

[图片上传失败...(image-4f6e6c-1595852425311)]

行业：芯片制造、半导体

总支付赏金：1,897,000美元

最高赏金：未知

初次响应时间：未知

奖金支付平均账期：未知

答谢黑客：96名

解决报告问题：未知

第五名、Twitter

[图片上传失败...(image-aaa4f4-1595852425311)]

行业：社交媒体、互联网

总支付赏金：1,288,000美元

最高赏金：2.016万美元

初次响应时间：12小时

奖金支付平均账期：8天

答谢黑客：842名

解决报告问题：1160个

第六名、GitLab

[图片上传失败...(image-f8a3f6-1595852425311)]

行业：软件开发

总支付赏金：1,211,000美元

最高赏金：2万美元

初次响应时间：1小时

奖金支付平均账期：19天

答谢黑客：250名

解决报告问题：581个

第七名、Mail.ru

[图片上传失败...(image-270656-1595852425311)]

行业：电子邮件、互联网

总支付赏金：1,119,000美元

最高赏金：2万美元

初次响应时间：5小时

奖金支付平均账期：17天

答谢黑客：973名

解决报告问题：3333个

第八名、GitHub

[图片上传失败...(image-a6a3ce-1595852425311)]

行业：软件开发

总支付赏金：987,000美元

最高赏金：2.5万美元

初次响应时间：15小时

奖金支付平均账期：13天

答谢黑客：310名

解决报告问题：535个

第九名、Valve

[图片上传失败...(image-dc1de7-1595852425311)]

行业：PC游戏平台、在线游戏

总支付赏金：951,000美元

最高赏金：2万美元

初次响应时间：9小时

奖金支付平均账期：60天

答谢黑客：322名

解决报告问题：589个

第十名、Airbnb

[图片上传失败...(image-794fc4-1595852425311)]

行业：互联网、在线旅游、共享房屋出租

总支付赏金：944,000万美元

最高赏金：1.5万美元

初次响应时间：5小时

奖金支付平均账期：19天

答谢黑客：353名

解决报告问题：775个

由于HackOne的榜单仅有排名和基础数据，以下，安全牛尝试解读这份榜单背后的隐含信息和趋势：

漏洞赏金总额和最高赏金创新高。2020年漏洞赏金项目TOP10企业的总奖金（累计）已经超过2300万美元，其中Verizon Media已通过HackerOne的平台向白帽黑客支付了近1000万美元。

TOP10企业主要集中在互联网金融、在线游戏、软件开发、在线旅游、社交媒体几大领域。这些企业的一个很大共同点就是存储大量高价值用户信息，是黑客的热门攻击目标，数据泄露和违规事件不但会给平台自身造成严重损失，同时也会波及其他行业。

再次强调漏洞披露的必要性。白帽黑客社区的漏洞披露规则向来是个颇具争议性的话题。HackerOne首席技术官兼联合创始人Alex Rice在一封电子邮件声明中说：“在HackerOne，默认披露是我们的价值观之一。尽管这不是我们的客户和黑客的强制性要求，但我们鼓励每个客户都考虑一下。通过分享我们容易受到攻击的地方，其他防御者可以学习，道德黑客可以从中学习，最终我们都更加安全。”

2020年排名发生较大变化。2020年贝宝（PayPal）奖金总额超越了优步（Uber），位居第二，后者降到了第三位。自2018年8月与HackerOne共同发起漏洞赏金计划以来，Paypal迄今已支付了280万美元，其中最高奖金为3万美元（自2012年以来的累计总奖金为600万美元）。

GitHub和Mail.ru都是今年前10名中的新成员。而GitLab则从2019年的第10位跃升至第6位，1月份支付了100万美元。

漏洞响应和赏金支付提速。白帽子黑客最喜欢的漏洞赏金计划通常有三个特征，报告响应迅速、支付金额高、支付速度快。为了吸引更多高水平白帽子黑客关注，TOP10漏洞赏金项目的漏洞响应速度明显加快，有五家企业的首次响应时间不到5小时，其中Gitlab的响应速度最快，在1小时内。

从数据统计来看，总赏金排名第二的PayPal的首次响应时间为4小时，平均漏洞奖金账期为17天，在TOP10中排名靠前，综合表现堪称标杆。

PayPal的信息安全工程师Ray Duran近日在博客中写道：“白帽黑客最好的漏洞提交方式很简单：有据可依，并证明其影响力。精心编写的报告有助于减少来回的对话，使我们能够快速进入补救步骤并更快地获得赏金。”

赏金支付方面，Github、Twitter和Verizon Media的支付账期最短，能在接到报告后两周内打款，其中Twitter打款周期最短，只需要8天，显著高于平均水平。Uber的打款周期最长，平均需要90天，是Twitter的十几倍。

参考资料：

HackOne 2020年十大漏洞赏金项目排行榜：

https://www.hackerone.com/resources/e-book/top-10-bounty-programs-2020