前软件工程师发现非死book漏洞获数万美元奖励

　　非死book 颁发了有史以来最大一笔“漏洞报告奖励（Bug Bounty）”，获得者是前软件工程师雷吉纳尔多·席尔瓦（Reginaldo Silva），他于去年 11 月发现了 非死book 服务器的安全漏洞。

　　席尔瓦将其发现的这一安全漏洞通知给 非死book，从而获得了 非死book 颁发的 33,500 美元的奖金。席尔瓦称，该安全漏洞可能允许黑客进入 非死book 的服务器并执行代码。在最坏的情况下，黑客可能得以访问 非死book 账户，甚至向用户传播电脑病毒。非死book 的一位发言人表示，任何操纵其服务器的行为会被迅速查明，并被公司及时终止。

　　非死book 自己雇佣了数百名工程师，以查找系统的安全漏洞和缺陷，但像很多高科技企业一样，该公司也出台了“漏洞报告奖励”计划，对那些发现了未被员工检测到的系统安全漏洞的“白帽黑客(white hat hacker)”给予奖励。

　　非死book 产品安全负责人亚历克斯·瑞斯（Alex Rice）表示：“他们发现了我们可能不会发现的东西。对于激励外部人士查找我们系统的缺陷，奖励计划是迄今为止我们拥有的最好手段。”

　　非死book 的一个专家小组最初决定奖励席尔瓦 26500 美元，这将是有史以来该公司支付最高金额的“漏洞报告奖励”。不过席尔瓦来到 非死book，指出其发现的安全漏洞比该公司认识的更为严重。席尔瓦透露，非死book 的工程师同意他的观点，该公司因此提高了奖励金额。

　　席尔瓦在他的博客称，非死book 立即修复了该安全漏洞。席尔瓦现年 27 岁，住在巴西圣若泽杜斯坎普斯市（Sao Jose dos Campos），此后在安全漏洞赏金猎人的圈子里变得小有名气。他说，很多公司向他发出工作邀请。

　　席尔瓦称，自从他全职查找网络安全漏洞，他已发现了数十个 bug（缺陷）——在谷歌“最佳 bug 报告者”排名榜上，他名列第5。

　　然而，席尔瓦也有竞争对手。去年，非死book 收到了来自全球各地的 14,736 次安全漏洞报告，较去年增加一倍以上。非死book 向其中大约三分之一的安全漏洞报告支付了现金奖励。非死book 成立了一个由 8 至 15 名工程师组成的专家小组，投票决定每个被发现的安全漏洞应支付的奖励金额。

　　2013 年，根据“漏洞报告奖励”计划，非死book 向 303 人支付了 150 万美元奖金。不过，非死book 表示，这些发现的安全漏洞大部分涉及哪些“非核心资产”，例如，那些被它收购的公司。

　　“漏洞报告奖励”计划帮助 非死book 减少了其系统的缺陷数量，该公司安全工程师科林·格林（Collin Greene）周四在公司网站上发表博文称：“信息安全研究人员对我们表示，要找到有价值的缺陷已变得越来越困难。”