他利用淘宝漏洞攫取1300万,但在白帽黑客眼里“漏洞”代表荣耀战场。就像人会说错话,打错字一样,从系统Bug到APP漏洞,从普通人到安全领域的工作者,对待漏洞的态度都在一念之间。有人因此锒铛入狱,但在有的人眼里,比如白帽黑客,漏洞致谢榜才是荣耀赛场。
“有一次看到可以购买优惠会员卡,我就给一个客户送会员卡,点击购买显示赠送成功,钱被划扣,但客户说没有收到会员卡,我的支付宝被扣了120元。我又买了一个会员课,客户同样没有收到,我的支付宝钱被扣了。过了几天我发现,支付宝里没钱了。我在余额不足的情况下再买发现,淘宝网不仅没有扣钱,反而还退钱给我。”
男子利用淘宝漏洞盗走1300万
20岁的贵州男子胡安,初中文化,非常迷恋网络,一次偶然的机会发现淘宝网有漏洞,买东西时只要账户余额不足,淘宝会退钱,于是他在5个月里,10万余次故意制造余额不足的情况,从网上偷走了1300余万元。
而案件引发关注的,似乎不是什么漏洞,而是这笔钱,除消费挥霍外,他拿出四五百万打赏网络直播的女主播,最多的一次,给了女主播8万元。
“靠,居然有这么低级的漏洞,我咋没遇到。”事发后,许多网友留言调侃。
天下没有完美的事物,软件开发者的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,电脑系统几乎就是用c语言编的,所以常常要打补丁。
科技领域从来就不缺乏漏洞,缺的是面对漏洞的态度与做法。“安在”曾以“360悬赏200万邀黑客找茬”为题,报道了360解决漏洞的态度。
360SRC悬赏200万找漏洞
“排斥和掩盖安全问题,只会带来更大的风险”,360董事长周鸿?的话掷地有声,任何产品都会出现漏洞,企业只有向安全社区开放合作,才能及时消除隐患,把用户的风险降到最低。
新年伊始,各大厂商的SRC纷纷加大对白帽子的漏洞报告奖励,力度空前。
2月23日,360SRC(安全应急响应中心)宣布,今年将投入超过200万奖金悬赏白帽黑客为360产品找漏洞,奖金数额相比去年提升一倍。并特别推出“IOT安全守护计划”,把最新款产品免费提供给知名黑客团队和安全专家进行测试,如果发现严重漏洞将获得最高36万元的重金奖励。
与此同时,阿里安全应急响应中心(ASRC)在2017年也加大对白帽子的奖励,如果白帽子提交的漏洞或者情报危害足够严重,还会有额外现金奖励2-10万(人民币)。
而腾讯安全应急响应中心(TSRC)则对所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励,符合TSRC即时现金奖励标准的严重安全问题,将额外给予1-50万的即时现金奖励。