很多人不知道,安全是黑产都需要重视的话题。就在上周,大型暗网市场Hansa借鉴了许多公司的普遍做法,发布了漏洞赏金计划,奖励金额最高可达10比特币,约合1万美元。
Hansa发布的这个奖励计划,既是害怕执法机关的查处(对网站所有者及其用户身份的曝光),也是害怕其他黑客前来搅和,从这个层面来说,在暗网做生意还真是比一般的电商处境艰难许多。Hansa分别在网站和社交新闻站点Reddit上发布此消息。
暗网也需要“白帽子”
毕竟和合法的生意还是有很大不同,Hansa如果遭遇入侵,是不能寻求警方或FBI的帮助的。据Hansa管理员所说,网站在2016年的业务超过300万美元,虽然在去年有很多同类型网站都遭到取缔,但是Hansa的发展反而有持续扩张趋势。Hansa提供的服务与其他的暗网市场并没有太大的区别,网站提供一些非法物品的买卖,包括一些被黑的账户密码,毒品,恶意软件、枪支等。
上周,最大的暗网市场AlphaBay被发现存在漏洞,AlphaBay给发现漏洞的黑客付了一笔钱之后,才不致信息泄露。Hansa于此发布漏洞奖励计划也就没什么好奇怪的了。毕竟五角大楼有漏洞赏金计划,Google和Facebook也有,没道理暗网就不能有。
要知道AlphaBay的漏洞让入侵者可以获取超过218,000条私密信息,其中包括用户收件地址、比特币钱包账号、物流号等等。
而之前也有其他暗网市场被勒索的情况发生,像是SilkRoad,就被威胁不支付赎金就会将网站的敏感信息和负责人的真实身份发送给当地执法机构(做生意好凶险)。
已有漏洞被发现
据CyberScoop报道,在漏洞赏金计划发布之后已经有人发现了Hansa的两个漏洞。其中一个是被垃圾邮件和钓鱼入侵者利用的验证码绕过漏洞,还有暴露在外的数据库,虽然这个数据库并不存在什么敏感信息。Hansa为这名黑客的发现提供了1比特币酬金,这个报酬还是略低的。真名黑客Cipher0007声称,漏洞令他能够获取240,000个Hansa用户名。
如上图所示,Hansa的悬赏标准如下:
可能严重破坏网站完整性的漏洞(像是IP地址和供应商或用户的个人信息):10比特币
可能让市场下线的非关键漏洞:1比特币
简单的显示问题或某些意想不到的行为(不是拼写或者语法错误):0.05比特币
和其他的漏洞赏金计划一样,白帽子想要获得赏金需要满足以下条件:不能造成主要服务下线,不访问其他用户账户,只能使用测试账户来演示漏洞情况。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/55193.html