为了快速抓出系统上的漏洞,网络公司们纷纷推出漏洞回报机制,透过开发者群体回报的力量,才能在最快时间修补系统的资安漏洞。继Facebook、Google、Dropbox、LinkedIn、中国的BAT三大公司之后,LINE也在10日推出一个月的漏洞回报奖金计划,邀请全球6亿用户一起抓系统漏洞,8月24日起回报LINE应用程序的安全漏洞,有机会得到500到2万美元不等的奖金,届时可用英文或日文回报漏洞。
Facebook在2011年就率先推出漏洞奖励,奖金至少500美元。Google从2010年开始就推出安全奖励计划,2015年1月更推出新的漏洞补助Vulnerability Research Grant,VRG),研究补助介于500至3133.7美元之间不等,支持资安人员找寻系统中的漏洞。Dropbox在2015年4月也推出漏洞奖励计划,金额最少为216元美金,最多一次奖励4913美元。LinkedIn也在7月时公布过去一年的漏洞奖励情形,一年时间共修补65个漏洞,支付6.5万美元奖金。
阿里巴巴也早在2013年成立安全应急回应中心(ASRC),2014年2月推出500万安全赏金计划,已发出100万元人民币(约500万台币)现金奖励,最大的一个漏洞为高达10万元人民币(约50万台币)。中国其他网络公司包括腾讯、网易、新浪、百度、京东、360、金山、小米…等等,也都在过去三年陆续推出漏洞奖励计划。
(图说:LINE也开始重视资安漏洞回报机制,推出漏洞回报奖金计划。
图片来源:截自LINE官网。)
LINE表示,全球许多知名的科技企业皆透过用户回报漏洞,快速找到系统缺失并修复。由LINE日本总部在查证并修复安全漏洞后,会公布检举回报者的姓名及其所发现的系统缺失,并给予奖励。
但回报的漏洞仅限LINE应用程序,不包括其他旗下的应用程序。此外,LINE也在官网增加「安全性与隐私权」页面,提供隐私权保护政策、资安团队数据和现行的安全防护措施,也包括LINE用户安全指南、修复完毕的安全漏洞检测报告。
网络公司开始重视漏洞的修补是好事,除了加强系统资讯安全的强度之外,也让全球资安人员能有一展长才的机会,毕竟抓出漏洞十分耗时费力,技术的难度也很高。漏洞机制可说是网络公司长期的资安规划之一,相较其他网络公司皆为持续的长期计划,甚至有即时回报中心,LINE只推出一个月计划,是否真的要认真推动漏洞回报机制?LINE表示,LINE第一次做漏洞回报测试,流程还不熟悉,所以日本总部先推出一个月的短期计划试看看。
