一家名为Digital Armaments的安全研究公司近日发起了一场“黑客挑战赛”,其中一项就是:但凡有人能够提供微软Windows 0-day漏洞,均可获取20000美元的奖赏。
根据赛事要求,参赛者需要详细描述漏洞的利用方法,并提交一份文档,截止时间为美国东部时间2月29日午夜。
也许有人会为此感到不齿,但严格来说这种行为并不违法,向安全研究人员支付报酬获取漏洞其实早就屡见不鲜了。去年七月初,瑞典公司WabiSabiLabi就开设了一个安全缺陷交易市场,合法用户可以在上边买卖尚未修复的0-day安全漏洞的详细资料。
微软等大型企业一般都要求研究人员私下报告漏洞,以免给公众造成威胁,但这都是义务劳动行为,研究人员得不到任何报偿,因此很多人都赞同把漏洞卖给安全机构的行为,至少比卖到黑市上要好得多。
Digital Armaments自称其研发团队成立于2003年,并于去年底在美国开设了办公室,不过有关该公司的具体情况还不为人所知,其官方网站上也充满了错别字,而且现在无法打开,因此不排除这次所谓的大奖赛是一次欺诈行为。
