2025年漏洞赏金猎人退坑的首要原因:企业推诿与激励体系崩塌

本文通过真实案例揭露企业漏洞赏金计划的系统性缺陷:无效响应、严重性降级、重复报告误判等问题,分析导致安全研究人员挫败退出的根本原因,并呼吁建立更公平的协作机制。

2025年漏洞赏金猎人退坑的首要原因

说实话——我们大多数人投身漏洞赏金并非纯粹出于好奇或热情。当然,黑客技术很有趣,发现真实漏洞也令人满足。但归根结底,经济回报是重要驱动力。我们投入时间与技术,期望企业能重视并奖励负责任的漏洞披露。

但现实往往与理想相去甚远。你完成工作、撰写清晰报告、遵守规则——然后企业开始推诿。他们可能声称"这是设计如此"或"影响较低",可能在没有提供证据的情况下标记为重复报告,或者直接停止回复。这种令人沮丧、挫败的情况实在太常见了。

作为安全研究人员,我亲眼见证了这个系统如何更偏向企业而非帮助它们的人。本文旨在揭示漏洞赏金世界的真实面貌:付出的努力、遭遇的推诿,以及塑造这个领域的破碎激励体系。

理想与现实的落差

最初,我们很容易给予企业信任。你假设他们会公平对待你的报告,快速进行分类,并根据实际风险给予奖励。但提交几次报告后,你就会开始注意到某种模式:报告被延迟数周,关键问题被标记为"信息类",某些项目甚至通过咬文嚼字来 justification 降低赏金。还有些项目悄悄关闭报告却不修复漏洞——更糟的是,甚至不予承认。

真实案例:未授权访问漏洞

我个人曾发现一个漏洞:无需认证即可访问旅游景点的电子票和活动预订。我发现了超过16张未领取且设定在未来日期的电子票和优惠券。可以看到全名、取票点、预订时间、地址甚至条形码。任何拥有该URL的人——无需登录——都能查看并可能滥用旅行者的个人行程。

你会认为这种问题应该被严肃对待。但我得到的回应?几乎没有任何反应。

我没有得到紧急处理或认可,而是得到了借口。没有赏金,没有升级处理,只是一个模糊的回复,感觉他们更感兴趣的是逃避责任而非解决问题。正是这种回应耗尽了研究人员的动力。

系统性问题的体现

很明显,许多公司运行漏洞赏金计划并非真正重视外部研究,而是因为这在纸面上看起来不错。它满足了合规要求,创造了良好的公关效果。但当需要支付赏金时,他们的优先级就发生了变化。突然之间,他们更感兴趣的是省钱而非保护系统安全。那些声称"我们关心安全"的项目会为100美元争论不休,仿佛这是个人侮辱。

最令人沮丧的是,这种行为并不罕见——它是系统性的。与任何有经验的漏洞赏金猎人交谈,你都会听到相同的故事:有效的报告被无理由驳回,严重性被无 justification 降级,或者赏金与影响不匹配。随着时间的推移,研究人员学会完全避开某些项目,不是因为那里没有漏洞,而是因为背后的公司根本不值得费心。

另一个案例:公开可访问的发票数据

在另一个案例中,我发现包含个人和支付相关信息的发票公开可在线访问——无需认证,没有保护,只是被索引和可搜索。这些文档包括全名、购买详情、时间戳,在某些情况下还包括部分账单数据。这不是理论上的漏洞;数据已经存在,实时在互联网上供任何人偶然发现。

然而,公司再次驳回了它。没有赏金,没有升级处理,只是另一个模糊的回复,将其标记为重复——没有提供任何证据。更糟糕的是:这份报告和之前关于暴露预订详情的报告都由同一个人审核。同样的 dismissive 态度,同样缺乏问责制。很难不觉得某些审核者更专注于保护公司形象而非保护用户数据。

更令人沮丧的是,他们将严重性降级为P5——最低可能的评级——只是为了避免授予我任何实际积分或认可。为什么?因为如果原始报告被标记为P1或P2,而我的被标记为重复,我应该会获得部分积分。天知道他们是否承认这一点。相反,他们方便地将严重性设置为最低水平, essentially 说:“这没什么大不了的”,尽管数据是公开暴露的。

最糟糕的部分?你甚至没有机会争论你的 case。他们发送第一个 dismissive 回复的那一刻——“重复”、“影响低”、“设计如此”——基本上就结束了。你发送的任何后续信息都被忽略。你被锁在对话之外。无论你是否有更多证据、更好的解释。他们已经决定了,现在你只是在对着虚空呐喊。

在那一刻,它不再感觉像是一个漏洞赏金计划,而开始感觉像一个旨在保护公司形象和预算的系统——而不是奖励安全研究人员。两份报告都由同一个人审核,采用同样的 dismissive 处理方式,这 only 突显了流程的真正破碎程度。

系统性的信任破裂

正是在这样的时刻,你意识到:有些公司并不真正关心安全——至少当它来自外部研究人员时。他们想要漏洞赏金的好处而不承担责任。如果这意味着淡化实时数据泄露或假装有效报告是重复的,那就这样吧。

漏洞赏金应该是一种伙伴关系——系统构建者和压力测试者之间的价值交换。当这种信任破裂时,每个人都会输。研究人员停止报告,公司错过关键修复,用户仍然暴露在风险中。如果公司真正关心安全,他们需要超越表面功夫。他们需要尊重研究人员,公平奖励他们,并修复他们创建的系统的破碎部分。在此之前,作为漏洞赏金研究人员的现实将仍然比应有的更加令人沮丧。

也许漏洞赏金不适合我。或者也许系统真的坏了——我不知道。我所知道的是,付出真正的努力,发现真正的问题,却因为期望公平而被对待得像要求太多,这是令人精疲力尽的。有些公司理解。大多数不理解。在 something 改变之前,这将是我们许多人将继续面对的现实:提供价值,得到沉默,并想知道我们为什么还要费心。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次