漏洞赚钱月入上万?这套路连程序员都不敢试

2023-03-12 06:36发布

漏洞赚钱是怎么回事呢?漏洞相信大家都很熟悉,但是漏洞赚钱是怎么回事呢?下面就让骚尼带大家一起了解吧。之所以今天的开头这么营销号,是因为骚尼最近发现不少人在网上搜「漏洞赚钱」的内容,出来的结果很多都带有诱导成分。为了让更多人了解漏洞赚钱的真相,唯有出此下策。


我们先来回答第一个问题:是不是真的可以通过漏洞赚钱?


答案是:可以,但方法可能和我们在网上搜到的结果不一样。真正的漏洞赚钱实际上是去发掘硬件、软件、系统中存在的安全性漏洞,并报告给软、硬件开发商以获得对方的合法报酬或奖励。


就拿四月初《福布斯》公布的一则报道来说,一名黑客报告了苹果公司的MacBook和iPhone相机中存在的7个零日漏洞(Zero Day,攻击者可以通过这些漏洞窃取和修改用户资料),苹果在确认漏洞后奖励给该名黑客75000美元(一个漏洞就赚够了首付,是不是有种去做黑客的冲动?)。


除了苹果这种被动奖励,很多国内外的科技、游戏公司都推出过「漏洞悬赏政策」。最近的一次悬赏计划来自《英雄联盟》开发商Riot Games,该公司在HackerOne上表示,如果有黑客报告了Vanguard(旗下射击游戏《Valorant》的反作弊系统)的漏洞,可最高获得10万美元赏金。


但无论是以上的哪种,找漏洞的门槛都是非常高的。能看懂代码还只是基本功(对于很多吃瓜群众来说已经是天书了),要想在堪称浩瀚的系统工程里头找到漏洞简直是大海捞针。所以除了少数喜欢单干的白帽黑客以外,找漏洞这活儿都是些安全机构或专业团队在进行。


而且甲方爸爸(也就是潜在的漏洞方)也不会干等着黑客拎着漏洞报告上门,公司内部的安全团队也在同步找漏洞。唯一的区别就是,人家的悬赏奖金,到了这里就是自己的业绩KPI。所以,想要凭借漏洞赚钱,除了打铁还要自身硬的真本事以外,还得手速比人家快。


不过这种赚钱的活儿也有瞎猫撞上死耗子的情况。一个美国14岁的小男生(格兰森·汤普森)在去年2月份的时候发现了苹果Facetime中的漏洞,苹果高管亲自告诉他获得最高20万美金的漏洞奖励资格。而这仅仅是因为男生在用Facetime打电话的时候发现,不管对方接不接听,只要在群组加入自己的号码就能听到对方麦克风传来的声音(这钱真的像大风刮来的一样)。


我们再来回答第二个问题:网上说的漏洞赚钱又是怎么回事儿?


答案是:非盗即骗。所谓的「盗」就是利用真实存在的漏洞牟利;而「骗」则是给人下套,告诉TA这里有个可以利用漏洞赚钱的方法(漏洞是假,骗TA钱财是真)。


这里要给大家讲一个可能是近几年来最大的漏洞牟利案。2016年,张某在得知网易贵金属南交所网络平台上的交易漏洞后,先后从平台获取452850元。不仅如此,张某还在QQ群上发布通过这个漏洞「赚钱」的方法,最后致使平台在9个半小时内被转出1637余万元。


包括张某在内的所有利用漏洞牟利的人,似乎分不清「赚钱」和「盗窃」的概念,而区分这两者的核心方法是「这种方式合不合法」。这种未经平台确认的转移资金行为明确触犯了法律法规,就好比取走了ATM机故障时多吐的现金一样,只不过这里的故障变成了漏洞。可气又好笑的是,这个张某还教唆别人一起利用漏洞牟利,最终的结果是罪行加一,获刑十余年。


利用漏洞非法牟利本就属于鸡鸣狗盗、越少人知道越好的事情,但像张某这种「有钱大家赚」的行为,骚尼只能表示「不能以常理度之」。不过更反常的是,在搜集漏洞赚钱的资料过程中,骚尼见识到了很多比如「菠菜漏洞」、「无本一个星期赚10万」的赚钱教程。


按照教程的操作,加好友、点链接、充值、提现、再充值、再提现、你钱没了……有没有很熟悉?是不是在哪里见过?这就是直接开骗的「杀猪盘」,连和你谈情说爱的环节都省了。


请有打算甚至正在尝试这种漏洞赚钱的各位好好想想,如果别人真的能靠漏洞赚钱,为什么不自己独揽而是要告诉你这个陌生人?这不是劫富济贫,这是盗窃,看了这么多劫匪内斗的动作片,你难道不知道这完全不符合分赃逻辑吗?靠漏洞一夜暴富的终局——


除了程序员的DEBUG,只剩「上当受骗」或者「牢底坐穿」,你要想清楚。


以上。漏洞赚钱,其实真的不一定是漏洞赚钱,事实就是这样,骚尼也感到非常惊讶。这就是关于漏洞赚钱的事情了,大家有什么想法呢,欢迎在评论区告诉骚尼一起讨论哦!