2025年漏洞赏金猎人退坑的首要原因:企业推诿与激励体系崩坏

本文通过真实案例揭露企业漏洞赏金计划的系统性缺陷,包括虚假重复标记、严重性恶意降级、推诿回应等乱象,剖析安全研究人员面临的企业响应困境与激励体系崩溃问题。

2025年漏洞赏金猎人退坑的首要原因

说实话——我们大多数人参与漏洞赏金计划并非纯粹出于好奇心或热情。当然,黑客技术很有趣,发现真实漏洞也令人满足。但归根结底,我们从事这项工作的主要原因是为了报酬。我们投入时间和技能,期望企业能够重视并奖励负责任的漏洞披露。

但现实往往与理想相去甚远。你付出了努力,撰写了清晰的报告,遵守了规则——然后企业却开始推诿。也许他们说这是"设计如此"或"影响较低"。也许他们在没有提供证据的情况下标记为重复报告。或者他们干脆停止回复。这种情况令人沮丧、失望,而且太常见了。

作为安全研究人员,我亲眼目睹了这个系统如何更偏向企业而非帮助它们的人。本文旨在揭示站在研究者这一边的真实情况:付出的努力、遭遇的推诿,以及塑造现代漏洞赏金世界的破碎激励体系。

理想与现实的落差

起初,我们很容易给予企业信任。你假设他们会公平对待你的报告,快速进行分类,并根据实际风险给予奖励。但在提交几次报告后,你开始注意到某种模式:报告被延迟数周处理;关键问题被标记为"信息类";有些项目方为了证明较低报酬的合理性而在措辞上争论;其他项目则悄悄关闭报告,从未修复漏洞——或者更糟的是,甚至不予承认。

真实案例:未授权访问漏洞

我个人遇到的一个例子:我发现了一个无需认证即可访问旅游景点电子票和活动预订的漏洞。我找到了超过16张未领取且设定在未来日期的电子票和优惠券。你可以看到全名、取票点、预订时间、地址甚至条形码。任何拥有该URL的人——无需登录——都可以查看并可能滥用旅行者的个人行程。

你会认为这样的问题应该被认真对待。但我得到的回应是什么?几乎没有任何反应。

我没有得到紧急处理或认可,而是得到了借口。没有赏金。没有升级处理。只是一个模糊的回复,感觉他们更感兴趣的是逃避责任而不是解决问题。这种回应正在耗尽研究人员的动力。

系统性问题的本质

很明显,许多企业运行漏洞赏金计划并不是因为他们真正重视外部研究,而是因为这在纸面上看起来很好。它符合合规要求。它能带来良好的公关效果。但当需要支付报酬时,他们的优先事项就发生了变化。突然间,他们更感兴趣的是省钱而不是保护系统安全。那些声称"我们关心安全"的同一项目方会为100美元争论不休,就像这是个人侮辱一样。

最令人沮丧的是,这种行为并不罕见——它是系统性的。与任何有经验的漏洞赏金猎人交谈,你都会听到同样的故事:有效的报告被无故驳回,严重性被毫无理由地降级,或者报酬与影响不匹配。随着时间的推移,研究人员学会完全避开某些项目,不是因为漏洞不存在,而是因为背后的公司根本不值得费心。

另一个案例:公开可访问的发票数据

在另一个案例中,我发现包含个人和支付相关信息的发票可以在线公开访问——无需认证,没有保护,只是被索引和可搜索。这些文档包括全名、购买详情、时间戳,在某些情况下还包括部分账单数据。这不是理论上的漏洞;数据已经存在,实时在互联网上供任何人偶然发现。

然而,公司再次驳回了它。没有赏金。没有升级处理。只是另一个模糊的回复,将其标记为重复——没有提供任何证据。更糟糕的是:这份报告和之前关于暴露预订详情的报告都是由同一个人审核的。同样的敷衍态度。同样缺乏问责制。很难不觉得一些审核人员更专注于保护公司形象而不是保护用户数据。

更令人沮丧的是,他们将严重性降级为P5——最低可能的评级——只是为了避免给予我任何真正的积分或认可。为什么?因为如果原始报告被标记为P1或P2,而我的被标记为重复,我应该会获得部分积分。天知道他们是否承认这一点。相反,他们方便地将严重性设置为最低水平, essentially saying: “这没什么大不了的,“即使数据已经公开暴露。

最糟糕的部分是什么?你甚至没有机会争论你的观点。当他们发送第一个敷衍的回复时——“重复”、“影响低”、“设计如此”——基本上就结束了。你发送的任何后续信息都会被忽略。你被排除在对话之外。无论你是否有更多证据、更好的解释。他们已经决定了,现在你只是在对着虚空呐喊。

在那一刻,它不再感觉像是一个漏洞赏金计划,而开始感觉像一个旨在保护公司形象和预算的系统——而不是奖励安全研究人员。两份报告都由同一个人审核,采用同样的敷衍处理方式,这只会突显这个过程实际上有多么破碎。

反思与结论

正是在这样的时刻,你意识到:有些公司实际上并不关心安全——至少当它来自外部研究人员时不是这样。他们想要漏洞赏金的好处而不承担责任。如果这意味着淡化实时数据泄露或假装有效的报告是重复的,那就这样吧。

漏洞赏金应该是一种伙伴关系——系统构建者和压力测试者之间的价值交换。当这种信任破裂时,每个人都是输家。研究人员停止报告,公司错过关键修复,用户仍然暴露在风险中。如果公司真正关心安全,他们需要超越表面文章。他们需要尊重研究人员,公平奖励他们,并修复他们创建的系统中破碎的部分。在此之前,作为漏洞赏金研究人员的现实将仍然比应有的更加令人沮丧。

也许漏洞赏金不适合我。或者也许这个系统真的坏了——我不知道。我所知道的是,付出真正的努力,发现真正的问题,却因为期望公平而被对待得像要求太多,这是令人精疲力尽的。有些公司理解这一点。大多数不理解。在有些事情改变之前,这将是我们许多人将继续面对的现实:提供价值,得到沉默,并想知道我们为什么还要费心。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次