【Cyber講堂】Bug Bounty：秘撈做Hacker可以搵幾多？

黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而，若擁有技術而又想要合法且正當地獲取收入，其實可以通過正規途經，例如參加漏洞獎勵計畫（Bug Bounty Programs）。利用自己的專長幫助企業強化其網絡安全防護，不僅為網絡安全做出貢獻，還能夠獲得不錯的回報。

漏洞獎勵計畫，是由漏洞回報平台邀請廠商提交自己的產品作測試，並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言，參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。

在 HackerOne 的新聞稿中，提到六名安全研究人員憑藉發現並報告安全漏洞，成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭，對嚴重漏洞的單個賞金獎勵高達 150 萬美元，其中 Google 就透過其漏洞獎勵計畫（VRP），向全球安全研究人員支付了近 1,000 萬美元的漏洞獎金。

在 2023 年，全球安全研究人員通過網絡漏洞獎勵計畫，平均每個漏洞可獲得 500 美元的獎金。在加密貨幣和區塊鏈行業中，發現嚴重漏洞所獲得的獎勵尤為豐厚，因為這些行業對安全性的要求極高，任何安全性漏洞都可能導致巨大的經濟損失。

HackerOne 剖析了平台上最常被報告的十大安全性漏洞，這些漏洞是資料洩露或系統被攻陷的罪魁禍首。例如，不恰當的身分驗證讓攻擊者能繞過認證或訪問系統敏感信息；錯誤的敏感資訊披露和作業系統提權漏洞，令黑客掌握系統漏洞位置並加以操控，為攻擊者提供更大控制權；SQL 注入和代碼注入漏洞通過注入惡意程式碼篡改或刪除伺服器上的資料；不恰當的存取控制導致伺服器上敏感資料被非法訪問。這些漏洞普遍在管理不善的網站上出現。

坊間有不同院校提供的課程，供想學習更多有關鑑別網站漏洞的技術的人士報讀。例如香港資訊科技學院（HKIIT）舉辦的網頁程式滲透測試證書課程，均由業界專家教授學員實戰技術，詳細講解不同的攻擊工具與識別網站的漏洞，有助學員成為市場炙手可熱的道德白帽黑客（Ethical Hacking）人才。

作者：Kinsey NG
香港資訊科技學院（HKIIT）網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景，提供校內與企業網絡安全培訓。