工程師外快福利:矽谷圈那些發家致富的「找茬」遊戲,你能過到第幾關?

在最近一個聚會上雷鋒網記者了解到這樣一個趣事:有一(bu)朋(ren)友(shi),去年發現他在 Facebook上可以刪除任何人的照片,於是報告給了 Facebook 有關部門,然有關部門回复說,這個是無效的 bug (invalid report)。於是,該工程師回家後就清空了馬克的相片集,然後有關部門通知他說,你這個是有效 bug,可以來領獎金了。

找 Bug 拿獎金?的確如此。矽谷很多大公司都有項目鼓勵用戶報告他們發現的 Bug,最近奇虎 360 和騰訊的兩位員工已經分別拿到了微軟的 1 萬和 4.5 萬獎金。以下是部分「大家來找茬」項目:

  • #1 Facebook bug bounty

Facebook 在 2014 年共收到 17011 個 bug 報告,共頒發了 130 萬美金給全球 65 個國家的 321 名提交者,其中 61 個 bug 被認為高危險漏洞。Facebook 對每一個有效 bug 的最低賞金是 500 美元,並根據 bug 的危險程度增加獎勵金額。2014 年的獲得獎金最多的 5 個人,共拿走了近 26 萬美金($256,750)。

  • #2 Google Bughunter University

Google Bughunter University(谷歌找茬大學)給出了詳細的找 bug 分級指導和相應的賞金,如下圖。有效 bug 獎勵 100 美元至 2 萬美元不等,危險性越高的 bug 獲得的賞金越多。從圖中可以看出,谷歌重點鼓勵的還是技術含量高的可以從遠程成功實施的對谷歌賬戶和應用的攻擊,賞金為 2 萬美元 /bug。

下圖是 2014 年全球提交的 bug 統計。雖然有很多提交者打了醬油(綠色部分),但高危的漏洞也不少:

這是各級別的獎勵總額統計圖,縱軸是獎勵級別,橫軸是金額:

雖然 Google 沒有公佈總共發了多少錢出去,不過從上圖來看,似乎拿到 1 萬和 2 萬美元獎金的人不多啊,是因為 Google 覺得自己的 Bug 比 Facebook 少嗎?不知道前幾天發生的「 谷歌一不小心把 Google.com 域名給賣了,售價為 12 美元 」這個 Bug 的發現者能獲得多少獎金……

  • #3 Microsoft Bounty Programs

微軟公司的大家來找茬項目叫做 Microsoft Bounty Program,自 2013 成立以來已經發放了 50+ 萬獎金。微軟把獲獎者的名單也公佈了出來,並且按類別做了區分。這個目前有三個子項目​​,分別是:

(1)Online Services Bug Bounty,有效 bug 獎勵 500 至 1.5 萬美元。
(2)Mitigation Bypass Bounty,真的有效的 bug 獎勵封頂金額為 10 萬美元。
(3)Bounty for Defense,同樣,真的有效的 bug 獎勵封頂金額為 10 萬美元,像國內網絡安全大佬、「婦科聖手」@tombkeeper 就拿到過微軟的 10 萬元獎金。

我們看下都誰拿到了獎金呢?下圖是微軟網站上公佈的部分獲獎名單。

Mitigation Bypass 的獎金真的不菲,HP 有團隊(HP)拿走了 12.5 萬美元的獎金,國內安全公司綠盟(NSFOCUS)也有不少收穫,Google 有兩位分別拿走了 2.5 萬美金。然後我們發現,@tombkeeper 在跳槽騰訊後又拿了 4.5 萬美元的獎金,不愧是獲獎專業戶…

工程師們,找 Bug 也可以致富,你還等什麼呢?

(本文作者:Emily Chen,郵件:[email protected]

(本文轉載自合作夥伴《雷鋒網》;未經授權,不得轉載)