Tor也加入了漏洞奖励计划,悬赏4000美元挖漏洞,
前言
网络黑客猖狂的时代,很多组织除了利用自己的内部资源来完善产品外,还会发动群众(比如白帽子和技术达人)来从外部监控替自己解决问题(比如及时发现和处理潜在安全漏洞)。
这次,技术达人发财的机会又来了。近期,Tor项目组对外宣布,他们正式启动了“Tor漏洞奖励计划”。
Tor漏洞奖励计划
Tor项目组将与HackerOne共同开启一个公开漏洞奖励计划,其目的就是利用该计划发动广大高手专家找出可能会影响Tor的安全漏洞。
HackerOne是一个总部位于美国旧金山的漏洞众测公司,公司分部位于荷兰格罗宁根。多家世界知名技术公司都使用HackerOne平台,如Yahoo、Twitter、Adobe、Uber、facebook等。目前,HackerOne平台注册黑客共3000多人来自150多个国家,漏洞众测合作企业达500多家。HackerOne是最早接受并利用黑客开展商业模式的公司之一。
其实早在2015年的十二月,Tor项目组就在CCC(混沌计算俱乐部及混沌通讯会议)上对外宣布他们将启动公开漏洞奖励计划。
漏洞奖金
根据Tor项目组公布的漏洞奖励计划,最低奖金为100美元,中危安全漏洞的奖金在500美元到2000美元之间,高危安全漏洞的奖金在2000美元到4000美元之间。
作为一个非营利性组织,Tor项目组都是由一些志愿者来维护的,其主要资金来源都是来自Google和Knight基金会等大型公共机构。
Tor的用户们,既是人权捍卫者、社会活动家、律师、研究人员、以及所有希望通过Tor匿名网络来保护自己隐私安全人们的天堂,也是极端分子的联络站、垃圾邮件的生产基地、武器交易站、儿童色情网站……的“罪恶天堂”。
所以对于Tor是否应该像主流企业那样公开实行漏洞奖励,一直存有争议。不过鉴于近几年Tor网络中存在的安全漏洞,以及Tor流量被人为的监控、追踪或攻击。Tor项目组决定紧随潮流来提升Tor的隐私性。
比如早在2015年,美国联邦调查局就专门给卡内基梅隆大学的研究人员提供了一百万美元的研究资金来找出Tor网络中的安全漏洞以帮助他们找到犯罪嫌疑人的真实IP地址。