我们先来回答第一个问题:是不是真的可以通过漏洞赚钱?
答案是:可以,但方法可能和我们在网上搜到的结果不一样。真正的漏洞赚钱实际上是去发掘硬件、软件、系统中存在的安全性漏洞,并报告给软、硬件开发商以获得对方的合法报酬或奖励。
就拿四月初《福布斯》公布的一则报道来说,一名黑客报告了苹果公司的MacBook和iPhone相机中存在的7个零日漏洞(ZeroDay,攻击者可以通过这些漏洞窃取和修改用户资料),苹果在确认漏洞后奖励给该名黑客75000美元(一个漏洞就赚够了首付,是不是有种去做黑客的冲动?)。
除了苹果这种被动奖励,很多国内外的科技、游戏公司都推出过「漏洞悬赏政策」。最近的一次悬赏计划来自《英雄联盟》开发商RiotGames,该公司在HackerOne上表示,如果有黑客报告了Vanguard(旗下射击游戏《Valorant》的反作弊系统)的漏洞,可最高获得10万美元赏金。
但无论是以上的哪种,找漏洞的门槛都是非常高的。能看懂代码还只是基本功(对于很多吃瓜群众来说已经是天书了),要想在堪称浩瀚的系统工程里头找到漏洞简直是大海捞针。所以除了少数喜欢单干的白帽黑客以外,找漏洞这活儿都是些安全机构或专业团队在进行。
而且甲方爸爸(也就是潜在的漏洞方)也不会干等着黑客拎着漏洞报告上门,公司内部的安全团队也在同步找漏洞。唯一的区别就是,人家的悬赏奖金,到了这里就是自己的业绩KPI。所以,想要凭借漏洞赚钱,除了打铁还要自身硬的真本事以外,还得手速比人家快。
不过这种赚钱的活儿也有瞎猫撞上死耗子的情况。一个美国14岁的小男生(格兰森·汤普森)在去年2月份的时候发现了苹果Facetime中的漏洞,苹果高管亲自告诉他获得最高20万美金的漏洞奖励资格。而这仅仅是因为男生在用Facetime打电话的时候发现,不管对方接不接听,只要在群组加入自己的号码就能听到对方麦克风传来的声音(这钱真的像大风刮来的一样)。
我们再来回答第二个问题:网上说的漏洞赚钱又是怎么回事儿?
答案是:非盗即骗。所谓的「盗」就是利用真实存在的漏洞牟利;而「骗」则是给人下套,告诉TA这里有个可以利用漏洞赚钱的方法(漏洞是假,骗TA钱财是真)。
这里要给大家讲一个可能是近几年来最大的漏洞牟利案。2016年,张某在得知网易贵金属南交所网络平台上的交易漏洞后,先后从平台获取452850元。不仅如此,张某还在QQ群上发布通过这个漏洞「赚钱」的方法,最后致使平台在9个半小时内被转出1637余万元。
包括张某在内的所有利用漏洞牟利的人,似乎分不清「赚钱」和「盗窃」的概念,而区分这两者的核心方法是「这种方式合不合法」。这种未经平台确认的转移资金行为明确触犯了法律法规,就好比取走了ATM机故障时多吐的现金一样,只不过这里的故障变成了漏洞。可气又好笑的是,这个张某还教唆别人一起利用漏洞牟利,最终的结果是罪行加一,获刑十余年。
利用漏洞非法牟利本就属于鸡鸣狗盗、越少人知道越好的事情,但像张某这种「有钱大家赚」的行为,骚尼只能表示「不能以常理度之」。不过更反常的是,在搜集漏洞赚钱的资料过程中,骚尼见识到了很多比如「菠菜漏洞」、「无本一个星期赚10万」的赚钱教程。
按照教程的操作,加好友、点链接、充值、提现、再充值、再提现、你钱没了……有没有很熟悉?是不是在哪里见过?这就是直接开骗的「杀猪盘」,连和你谈情说爱的环节都省了。
请有打算甚至正在尝试这种漏洞赚钱的各位好好想想,如果别人真的能靠漏洞赚钱,为什么不自己独揽而是要告诉你这个陌生人?这不是劫富济贫,这是盗窃,看了这么多劫匪内斗的动作片,你难道不知道这完全不符合分赃逻辑吗?靠漏洞一夜暴富的终局——
除了程序员的DEBUG,只剩「上当受骗」或者「牢底坐穿」,你要想清楚。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
