Twitter通过HackerOne发布安全漏洞赏金计划

在安全漏洞动摇了人们对许多在线服务的信心之后，Twitter今天宣布推出漏洞赏金计划，HackerOne则是漏洞赏金计划供应商，Twitter将向通过HackerOne报告有效安全威胁的安全研究人员支付赏金。Twitter将为每一个漏洞报告至少支付140美元，这些漏洞覆盖Twitter.com、ads.twitter、移动版Twitter、TweetDeck、app.twitter及其iOS和安卓应用程序。根据其安全漏洞时间表来看，Twitter实际上三个月前就开始与HackerOne合作，但最近苹果上的名人照片被盗事件让网络安全已经上升到主流关注的新高度，而Twitter想借此表明它对保证用户安全的严肃态度。

Twitter这样写道“我们为符合条件的安全漏洞报告提供赏金，为的是认可他们的努力，认可他们在保证Twitter安全方面所发挥的重要作用。”该计划中已经有44名黑客帮助Twitter修复了46个漏洞。

一些大的公司比如Facebook自己运营漏洞赏金项目，不过HackerOne为那些想利用众包的漏洞查找方式的公司提供即时可用的解决方案，这些公司不会因为自己管理计划而被弄得手忙脚乱。HackerOne的客户还包括雅虎、Square,、MailChimp,、Slack 和Coinbase。HackerOne最近获得了一笔900万美元的融资，用来进行扩张和市场推广。亚历克斯·赖斯（Alex Rice）是HackerOne的联合创始人，他曾是Facebook安全团队的成员，他因此知道这家社交网络公司自己运营的漏洞赏金计划帮助公司抵御了许多安全威胁。

相比之下，Twitter提供的最低回报高于雅虎提供的50美元和Slack提供的100美元，但比Coinbase1000美元的赏金又要低很多，还有Square提供的250美元或是Facebook在自家项目里提供的500美元。

在本周iCloud发生名人照片被黑之后，一些人呼吁苹果应当与外部安全研究更紧密地合作。而与此相反，昨天苹果还归咎于是用户没有选择更安全的密码或启用额外的保护。虽然它有通过VUPEN与独立的专家进行合作，但一些人认为一个更加开放的程序本可以识别出用来偷取iCloud上像詹妮弗·劳伦斯（Jennifer Lawrence）这样的明星账户访问权限的把戏。也许Twitter的举措会让苹果重新思考它在促进安全方面应该如何利用社区的力量。（译：李娜）

Twitter Taps HackerOne To Launch Its Bug Bounty Program