企業(yè)借外力發(fā)現(xiàn)漏洞，豐田感謝騰訊

編者按：本文來自“日經(jīng)中文網(wǎng)”，36氪經(jīng)授權(quán)發(fā)布。

“我們會認(rèn)真對待獲得的信息”，豐田3月發(fā)布消息稱，雷克薩斯品牌的SUV“NX300”被發(fā)現(xiàn)了漏洞。發(fā)現(xiàn)者是騰訊控股的安全研究團(tuán)隊。這是一個負(fù)責(zé)發(fā)現(xiàn)漏洞的專業(yè)團(tuán)隊，以往也被美國特斯拉等企業(yè)表彰過。

雷克薩斯“NX300”

據(jù)悉此次發(fā)現(xiàn)的漏洞是雖然無法進(jìn)行“行駛、轉(zhuǎn)彎、停車”的控制，但能遠(yuǎn)程操控車身的一部分。豐田分析稱，這種遠(yuǎn)程操控“需要難度極高的程序”，現(xiàn)實中被濫用的可能性很低。但是，豐田沒能通過自己的力量發(fā)現(xiàn)問題。目前在日本銷售的車輛不存在這種漏洞。

豐田在被指出風(fēng)險之后花費半年時間消除漏洞，在完成對策的3月公布了事實。豐田沒有給予金錢方面的酬謝，但在新聞公告中表示，“對（騰訊的）技術(shù)實力表示敬意”。

企業(yè)為了發(fā)現(xiàn)自身產(chǎn)品和系統(tǒng)的弱點，借助外部研究人員和善意黑客的力量的趨勢正在擴(kuò)大。這是因為存在像豐田的案例那樣通過實際攻擊才能發(fā)現(xiàn)的漏洞。

其背后是按照發(fā)現(xiàn)缺陷的嚴(yán)重程度而支付謝禮的“bug bounty program（漏洞賞金計劃）”的普及。除了美國谷歌等IT企業(yè)之外，美國星巴克和德國漢莎航空也引進(jìn)了這種機(jī)制。在最大平臺美國HackerOne，2019年合計有4000萬美元獎金付給黑客。

日本企業(yè)對這種機(jī)制的利用也在增加。索尼互動娛樂公司6月宣布，向發(fā)現(xiàn)游戲機(jī)PlayStation4相關(guān)漏洞的黑客最高支付5萬美元。該公司決定向社會廣泛公開此前的非公開措施，以借助更多黑客的力量。在開始后約4個月后，該公司總計向黑客支付了約28萬美元。此外，任天堂和LINE也在擴(kuò)大獎金制度。

企業(yè)依賴的是在HackerOne注冊的60萬名技術(shù)人員。

“日本情報處理推進(jìn)機(jī)構(gòu)”（IPA）的《IT人才白皮書2020》顯示，在日本，IT技術(shù)人員的7成以上隸屬于富士通和NEC等IT企業(yè)。形成對照的是，美國只有不到4成的技術(shù)人員在IT企業(yè)工作。在多家企業(yè)之間輾轉(zhuǎn)的技術(shù)人員也很多，也有著通過發(fā)現(xiàn)漏洞而更好地推銷自己的動機(jī)。

2019年甚至出現(xiàn)了累計賺到100萬美元以上獎金的黑客。那就是生活在阿根廷的Santiago Lopez，當(dāng)時19歲。他通過自學(xué)掌握技術(shù)，在4年里向美國推特等多家企業(yè)合計報告了1600多個漏洞。

趨勢科技（Trend Micro）的數(shù)據(jù)顯示，自2019年4月至2020年3月遭受網(wǎng)絡(luò)攻擊的日本國內(nèi)企業(yè)的平均受損金額達(dá)到1.48億日元。越來越多企業(yè)認(rèn)為，與受損時的成本等相比，付給黑客的獎金比較便宜。

不過，如果應(yīng)對不當(dāng)也會帶來風(fēng)險。

2019年10月，美國黑客在推特上公開了日本旅行社HIS經(jīng)營的“奇怪酒店”的漏洞。據(jù)悉可以遠(yuǎn)程操控機(jī)器人的攝像頭來窺視客房里的情形。黑客在酒店住宿時發(fā)現(xiàn)并向酒店報告了這一漏洞，“90天內(nèi)沒有回應(yīng)，因此予以公開”。HIS當(dāng)即道歉，表示已做好處理。

每年賺到500萬日元（約合人民幣31.9萬元）獎金的黑客、三井物產(chǎn)Secure Directions的米山俊嗣指出，“很多海外企業(yè)會對發(fā)現(xiàn)漏洞并通報表示感謝。另一方面，仍有很多日本企業(yè)憤怒地認(rèn)為不應(yīng)多管閑事”。要充分運用黑客的知識，需要具備達(dá)到世界標(biāo)準(zhǔn)的應(yīng)對能力。