很多人不知道,安全是黑產都需要重視的話題。就在上週,大型暗網市場Hansa借鑑了許多公司的普遍做法,發佈了漏洞賞金計劃,獎勵金額最高可達10比特幣,約合1萬美元。
Hansa發佈的這個獎勵計劃,既是害怕執法機關的查處(對網站所有者及其用戶身份的曝光),也是害怕其他黑客前來攪和,從這個層面來說,在暗網做生意還真是比一般的電商處境艱難許多。Hansa分別在網站和社交新聞站點Reddit上發佈此消息。
暗網也需要“白帽子”
畢竟和合法的生意還是有很大不同,Hansa如果遭遇入侵,是不能尋求警方或FBI的幫助的。據Hansa管理員所說,網站在2016年的業務超過300萬美元,雖然在去年有很多同類型網站都遭到取締,但是Hansa的發展反而有持續擴張趨勢。Hansa提供的服務與其他的暗網市場並沒有太大的區別,網站提供一些非法物品的買賣,包括一些被黑的賬戶密碼,毒品,惡意軟件、槍支等。
上週,最大的暗網市場AlphaBay被發現存在漏洞,AlphaBay給發現漏洞的黑客付了一筆錢之後,才不致信息洩露。Hansa於此發佈漏洞獎勵計劃也就沒什麼好奇怪的了。畢竟五角大樓有漏洞賞金計劃,Google和Facebook也有,沒道理暗網就不能有。
要知道AlphaBay的漏洞讓入侵者可以獲取超過218,000條私密信息,其中包括用戶收件地址、比特幣錢包賬號、物流號等等。
而之前也有其他暗網市場被勒索的情況發生,像是SilkRoad,就被威脅不支付贖金就會將網站的敏感信息和負責人的真實身份發送給當地執法機構(做生意好凶險)。
已有漏洞被發現
據CyberScoop報道,在漏洞賞金計劃發佈之後已經有人發現了Hansa的兩個漏洞。其中一個是被垃圾郵件和釣魚入侵者利用的驗證碼繞過漏洞,還有暴露在外的數據庫,雖然這個數據庫並不存在什麼敏感信息。Hansa為這名黑客的發現提供了1比特幣酬金,這個報酬還是略低的。真名黑客Cipher0007聲稱,漏洞令他能夠獲取240,000個Hansa用戶名。
如上圖所示,Hansa的懸賞標準如下:
可能嚴重破壞網站完整性的漏洞(像是IP地址和供應商或用戶的個人信息):10比特幣
可能讓市場下線的非關鍵漏洞:1比特幣
簡單的顯示問題或某些意想不到的行為(不是拼寫或者語法錯誤):0.05比特幣
和其他的漏洞賞金計劃一樣,白帽子想要獲得賞金需要滿足以下條件:不能造成主要服務下線,不訪問其他用戶賬戶,只能使用測試賬戶來演示漏洞情況。
*參考來源:softpedia,bleepingcomputer,FB小編孫毛毛編譯,轉載自FreeBuf.COM
閱讀更多 Exploit 的文章
