全球60萬名白帽駭客都在這家公司！臉書、阿里巴巴、Uber的資訊安全把關全靠它

HackerOne成立8年以來，致力聚集全球白帽駭客，集結他們的駭客力量，幫企業系統找出安全漏洞，打造更加安全的系統環境，一掃「駭客」的負面形象。

說到「駭客」，你會想到什麼？多數人的腦海裡，或許會浮現身著黑衣帽、坐在暗房中、眼睛同時盯著好幾個發亮螢幕的惡意角色吧，然而並非所有的駭客都試圖作惡，實際上，有許多駭客是透過幫助他人發現網路安全漏洞而維生，這樣的駭客被稱作「白帽駭客」。

最近，在市場上備受注目的HackerOne，就是這樣一家專門打造白帽駭客網絡的公司，集結了全球60萬名駭客的技術，為各大企業的資訊安全進行把關，根據《Fast Company》日前公布的2020世界50大創新企業排名，HackerOne高居第5名寶座。

當大部分企業依然擁抱傳統思維：靠內部的人力與技術等資源來預防駭客入侵的時候，HackerOne卻以反向思考獲得成功——與其站在系統內試圖補強，不如開放外部駭客來駭這套系統，能更快找到安全漏洞。

這家公司成立8年至今，包含Facebook、Uber、AT&T、阿里巴巴、PayPal等各家大型企業，都已經被HackerOne的駭客邏輯說服，成為客戶之一。

從童年延伸的駭客點子

HackerOne是由Jobert Abma與Michiel Prins兩位荷蘭人所創立，於1990年出生，他們倆從小就因為住在同一條街上而成為好友。從童年喜愛玩電玩遊戲、自製網站;到了青少年時，他們就成功駭進學校的電視台作為惡作劇玩笑;大學時期，意外發現學校用來管理學生資訊與成績的系統會洩露個人資料，在知會軟體開發商卻沒有獲得回饋後，卻萌生了一個新的念頭，假如幫其他公司找到軟體漏洞，或許會有人願意付錢作為報酬。

HackerOne的商業模式因此誕生。

2011年時，Abma與Prins曾經發信給Google與Facebook，希望能和他們內部員工見個面，談談系統安全，然而，沒有人回應，只有當時Facebook的產品安全總監亞利克斯・賴斯（Alex Rice）短暫說句，如果他們找到任何安全漏洞，歡迎再聯絡他們。

Abma與Prins就真的嘗試駭進Facebook Messenger，並且找到了一個大型安全漏洞，這個成果，替他們爭取到在Facebook總部屋頂一道烤肉派對的參加機會，最後更帶著合作合約走出Facebook。他們也因此認為，如果Facebook對這個服務有興趣，其他矽谷企業應該也會有，他們就這樣開始去聯絡其他科技公司，並且成立了HackerOne這家公司。

駭客與企業雙贏的商業模式

每套軟體系統一定都存在某種程度的安全威脅與漏洞，平均對每家企業來說，補救資料外洩事件的支出成本高達360萬美元（約1.08億元台幣），因此對企業來說，如果能在惡意駭客發現漏洞之前，找出並補救，就能省下更多的災難補救支出。

根據安全漏洞發現成果，每個在HackerOne平台上找到系統漏洞的駭客能夠獲得幾百美元至1萬美元不等（約3千至30萬元台幣）的金錢獎賞，根據發現的漏洞層級與企業，有時更會有超過1萬美元的高額回報。而HackerOne的角色則是處理金錢支付、稅務、駭客背景調查等法律問題，此外，註冊的駭客得支付HackerOne兩成的金錢獎賞，而企業夥伴則是支付幾千至幾萬美金不等的年訂閱費。

自2012年成立之今以來，HackerOne平台上目前共有超過60萬名註冊駭客，此平台更是在2019年快速成長，平均每日註冊駭客人數達到850人；平台上的駭客至今獲得的金錢獎賞已經超過8千萬美元（約24億元台幣），光是2019年就有511個案子獎賞達到最高金額1萬美元。據HackerOne表示，平台上已經有7個駭客獲得總獎金超過1百萬美元（約3千萬元台幣）。

HackerOne駭客網絡所解決的知名安全漏洞案件包含：

• 美國聯邦政府Hack the Pentagon計畫：透過一個月的時間，平台上的駭客找到美國軍隊使用軟體的138個安全漏洞，此計畫成本為15萬美元（約450萬元台幣），但預計能省下美國國防部1百萬美元安全支出。
  

• PayPal登入漏洞：HackerOne駭客發現PayPal的登入頁面，含有可能會把用戶私人資料洩露給惡意駭客的安全漏洞，駭客回報給PayPal後，他們在1天內處理好問題，並支付這名駭客15,300美元作為獎賞（約46萬元台幣）。
  

• 美國第一資本金融公司（Capital One）：HackerOne駭客找到第一資本系統中，會洩漏1億客戶信用卡申請資訊的安全漏洞，在資料外洩災難發生之前就先補救。
  

「相信」白帽駭客保平安

2017年底《路透社》的報導指出，一名20歲的駭客透過HackerOne負責找出Uber系統的安全漏洞，與其將找出的漏洞回報，這名駭客卻反過來透過漏洞偷走5,700萬筆Uber用戶與司機的個人資料，並且威脅Uber索取更大筆的金錢。

最後Uber透過HackerOne來了解這名駭客的身份，並且支付他10萬美元（約300萬台幣）作為他刪除這些資料的代價。事情最後雖然成功解決，但是也顯露出聘請外部駭客調查系統安全的風險。

為了消弭企業的風險疑慮，HackerOne於2019年推出HackerOne Clear計畫，當企業開放駭客參與內含機密資料的高敏感專案時，企業有權要求駭客簽署保密協議，加強企業方的安全性。

回到原點，當我們都拋棄對駭客的成見時，就能以另外一個面向去看這些人對科技產業所帶來的好處。

「我很驕傲看到我的工作成果被認可、獲得價值。不僅僅是為了錢，而是因為這樣的成就代表這些企業的資訊、以及用戶資訊，都比以前更加安全地防護著，這點才是令人讚賞的。」一名HackerOne駭客排名表上前段班的20歲阿根廷駭客，曾對外媒《ZDNet》這樣說道。