HackerOne漏洞赏金计划在2017年总共支付了1100万美元！

根据HackerOne发布的2018年HackerOne安全报告显示，去年在HackerOne上提交过漏洞的白帽黑客们总共已经挣了超过1100万美元了。

在去年，HackerOne总共上线了大约1000个漏洞奖励计划，并从来自100多个国家的安全研究人员手中收到了超过72000份漏洞报告。从HackerOne成立到2018年6月份，HackerOne总共已经向研究人员支付了3100万美元。其中，有超过2500万美元的漏洞奖金是由美国境内的组织提供的。
根据HackerOne提供的数据，去年提交的116份漏洞报告就占掉了1万美金的奖金支出，公司给关键安全漏洞支付的平均漏洞奖金也已经增加到了2000美元，而像微软和英特尔这样的科技公司提供的漏洞奖金已经增加到了25万美元之多。
下图显示的是每一个行业为关键安全漏洞提供的平均漏洞奖金：

随着行业的发展，越来越多的公司开始推出自己的公开漏洞奖励计划了，但去年仍有将近80%的漏洞奖励计划是非公开的。大部分公开的漏洞奖励计划都是由科技公司发起的，这部分占了总数的63%。
在新增加的漏洞奖励计划中，政府部门发布的项目占了很大一部分，随着欧盟委员会和新加坡国防部都推出了自己的漏洞奖励计划之后，美国政府也推出了相应的漏洞奖励计划，例如他们会奖励那些成功入侵美国空军系统或陆军系统的黑客。
根据报告的内容，去年上报的有效漏洞总数约为27000个，跨站脚本漏洞（XSS）仍然是最常见的安全漏洞类型，其次则是信息披露漏洞。
关于漏洞修复时间方面，消费品行业的平均漏洞修复时间是最短的，平均为14天。而与之相比，政府部门的平均漏洞修复时间就要长很多了，平均为68天。
去年支付的漏洞奖金最高为75000美元，这是一家科技公司给三个组合漏洞支付的漏洞奖金。据了解，攻击者可利用这三个漏洞组合成一条漏洞利用链，并在无需用户交互的情况下实现远程代码执行。一旦成功利用，攻击者将能够远程访问用户的信用卡数据，劫持用户账号和员工账号，访问基础设施代码，甚至发动大规模勒索软件攻击。