漏洞賺錢是怎麼回事呢?漏洞相信大家都很熟悉,但是漏洞賺錢是怎麼回事呢?下面就讓騷尼帶大家一起了解吧。之所以今天的開頭這麼營銷號,是因為騷尼最近發現不少人在網上搜「漏洞賺錢」的內容,出來的結果很多都帶有誘導成分。為了讓更多人了解漏洞賺錢的真相,唯有出此下策。
我們先來回答第一個問題:是不是真的可以通過漏洞賺錢?
答案是:可以,但方法可能和我們在網上搜到的結果不一樣。真正的漏洞賺錢實際上是去發掘硬體、軟體、系統中存在的安全性漏洞,並報告給軟、硬體開發商以獲得對方的合法報酬或獎勵。
就拿四月初《福布斯》公布的一則報導來說,一名黑客報告了蘋果公司的MacBook和iPhone相機中存在的7個零日漏洞(Zero Day,攻擊者可以通過這些漏洞竊取和修改用戶資料),蘋果在確認漏洞後獎勵給該名黑客75000美元(一個漏洞就賺夠了首付,是不是有種去做黑客的衝動?)。
除了蘋果這種被動獎勵,很多國內外的科技、遊戲公司都推出過「漏洞懸賞政策」。最近的一次懸賞計劃來自《英雄聯盟》開發商Riot Games,該公司在HackerOne上表示,如果有黑客報告了Vanguard(旗下射擊遊戲《Valorant》的反作弊系統)的漏洞,可最高獲得10萬美元賞金。
但無論是以上的哪種,找漏洞的門檻都是非常高的。能看懂代碼還只是基本功(對於很多吃瓜群眾來說已經是天書了),要想在堪稱浩瀚的系統工程裡頭找到漏洞簡直是大海撈針。所以除了少數喜歡單幹的白帽黑客以外,找漏洞這活兒都是些安全機構或專業團隊在進行。
而且甲方爸爸(也就是潛在的漏洞方)也不會幹等著黑客拎著漏洞報告上門,公司內部的安全團隊也在同步找漏洞。唯一的區別就是,人家的懸賞獎金,到了這裡就是自己的業績KPI。所以,想要憑藉漏洞賺錢,除了打鐵還要自身硬的真本事以外,還得手速比人家快。
不過這種賺錢的活兒也有瞎貓撞上死耗子的情況。一個美國14歲的小男生(格蘭森·湯普森)在去年2月份的時候發現了蘋果Facetime中的漏洞,蘋果高管親自告訴他獲得最高20萬美金的漏洞獎勵資格。而這僅僅是因為男生在用Facetime打電話的時候發現,不管對方接不接聽,只要在群組加入自己的號碼就能聽到對方麥克風傳來的聲音(這錢真的像大風颳來的一樣)。
我們再來回答第二個問題:網上說的漏洞賺錢又是怎麼回事兒?
答案是:非盜即騙。所謂的「盜」就是利用真實存在的漏洞牟利;而「騙」則是給人下套,告訴TA這裡有個可以利用漏洞賺錢的方法(漏洞是假,騙TA錢財是真)。
這裡要給大家講一個可能是近幾年來最大的漏洞牟利案。2016年,張某在得知網易貴金屬南交所網絡平臺上的交易漏洞後,先後從平臺獲取452850元。不僅如此,張某還在QQ群上發布通過這個漏洞「賺錢」的方法,最後致使平臺在9個半小時內被轉出1637餘萬元。
包括張某在內的所有利用漏洞牟利的人,似乎分不清「賺錢」和「盜竊」的概念,而區分這兩者的核心方法是「這種方式合不合法」。這種未經平臺確認的轉移資金行為明確觸犯了法律法規,就好比取走了ATM機故障時多吐的現金一樣,只不過這裡的故障變成了漏洞。可氣又好笑的是,這個張某還教唆別人一起利用漏洞牟利,最終的結果是罪行加一,獲刑十餘年。
利用漏洞非法牟利本就屬於雞鳴狗盜、越少人知道越好的事情,但像張某這種「有錢大家賺」的行為,騷尼只能表示「不能以常理度之」。不過更反常的是,在搜集漏洞賺錢的資料過程中,騷尼見識到了很多比如「菠菜漏洞」、「無本一個星期賺10萬」的賺錢教程。
按照教程的操作,加好友、點連結、充值、提現、再充值、再提現、你錢沒了……有沒有很熟悉?是不是在哪裡見過?這就是直接開騙的「殺豬盤」,連和你談情說愛的環節都省了。
請有打算甚至正在嘗試這種漏洞賺錢的各位好好想想,如果別人真的能靠漏洞賺錢,為什麼不自己獨攬而是要告訴你這個陌生人?這不是劫富濟貧,這是盜竊,看了這麼多劫匪內鬥的動作片,你難道不知道這完全不符合分贓邏輯嗎?靠漏洞一夜暴富的終局——
除了程式設計師的DEBUG,只剩「上當受騙」或者「牢底坐穿」,你要想清楚。
以上。漏洞賺錢,其實真的不一定是漏洞賺錢,事實就是這樣,騷尼也感到非常驚訝。這就是關於漏洞賺錢的事情了,大家有什麼想法呢,歡迎在評論區告訴騷尼一起討論哦!