哪家公司的漏洞奖金最高?Exodus给出最高50万美元 来看国内国外漏洞奖金排行榜

几乎每个大公司都推出漏洞奖励计划。最近一个是苹果公司,在上周的Blackhat 2016黑帽大会给出最高10万美金的奖励。Exodus也是一家漏洞挖掘公司,它宣布推出一项漏洞奖励计划。谁将为零日漏洞的挖掘开出更多奖金呢?这在零日漏洞市场上有所反映。

苹果产品的一个安全漏洞价值几何?

奖金金额设置很有意思:对于影响安全启动(secure boot)固件组件的漏洞,发现者可获得最高20万美元的奖金;对于能提取被Secure Enclave保护的敏感信息的漏洞,发现者可获得最高10万美元的奖金;对于kernel权限执行任意代码的漏洞和越权访问Icloud账户数据的漏洞,发现者可获得最高5万美元的奖金;对于能从沙箱中访问沙箱外数据的漏洞,发现者可获得最高2.5万美元的奖金。

但是我们都知道,零日漏洞市场上挤满了私有企业和国有企业,他们能拍板为流行产品上的未知漏洞付高得多的价钱。

Exodus给出的最高50万美元的奖金

零日漏洞经纪公司Exodus Intelligence已宣布了一项新的收购计划,获取漏洞和漏洞利用。

今天,Exodus Intelligence宣布了新的研究赞助计划,专注于从全球网络安全研究社区获取漏洞研究和利用。Exodus Intelligence在官方声明中说到,“在继续获取零日漏洞研究结果的同时,RSP是第一个广泛的、为N日漏洞利用提供赏金的计划。”

“对于推出新的奖金结构来获取零日漏洞相关的研究结果,Exodus感到很兴奋。”

Exodus将与客户分享漏洞及其漏洞利用的详细信息。为此,用户需要支付每年大约20万美元的订阅费。

让我们比较一下Exodus和苹果公司分别提供的奖金额度。对于iOS 9.3或者更高版本的漏洞,Exodus给出的最高50万美元的奖金,超过苹果公司的两倍。

现在很明显,那些寻求报酬的漏洞发现者将会联系Exodus而不是像苹果公司这样的IT巨头,因为Exodus的漏洞赏金计划为零日漏洞利用提供的奖金更高。

促使漏洞发现者联系Exodus的另一个动机是,在零日漏洞被修复之前,Exodus每季度将为发现者提供额外的现金奖励。

公告中称,“对于获取的每一个零日漏洞,Exodus在审核通过后将向提供者发放首次奖金。一旦审核通过,在零日漏洞被修复之前,提供者每个季度都会收到额外的奖金。在对漏洞提供者的成果进行审核之后,Exodus将给提供者一份报价,包含首次奖金和季度奖金的额度。另外,Exodus还提供比特币支付的形式,支持零日漏洞研究。”

说到苹果公司的零日漏洞,让我们想起了去年零日漏洞公司Zerodium为iOS的一个零日漏洞发现支付了100万美元。攻击者可利用该漏洞远程破解任何苹果手机。

Exodus推出的漏洞赏金计划是开放的,每个人都可以向该公司提交漏洞,而其他计划只有邀请者才能参加。

发表评论