靠“抓漏”赚进百万! 17 岁少年一连揪出 5 次 Google 漏洞,
辉煌成就登上 Google 名人堂!
如何让整个世界成为你的智囊团?结合群众的力量或许是最有力的作
法,近来包括Facebook、Google等社群平台、网络服务商,为了确保系统
的安全性,都推出漏洞通报奖励计画,透过高额奖金当奖励,开放全世界
用户一起抓漏洞。
佩雷拉(Ezequiel Pereira)前前后后已经帮助Google揪出系统漏洞
五次,今年他在Google应用服务引擎上发现的一项漏洞,获得了36,337美
元(约合新台币108万元)的奖金,除了成为个人纪录史上金额最高的一次
,也借由“抓漏”替自己赚进了人生第一桶金。
成功五度抓漏,登上Google名人堂第12名
Google旗下的抓漏奖励专案(Vulnerability Reward Program),依
据漏洞的坏程度,提供抓漏者奖金,据Google统计,去年(2017)一整年
总共向274名研究人员,发出290万美元(约合新台币8679万元)的奖金,
其中最高的一笔是112,500美元(约合新台币336.69万元)。
因成功五度抓漏,登上Google名人堂(Hall of Fame)第12名的佩雷拉
(Ezequiel Pereira),今年才17岁。名人堂上为对Google抓漏计画具有
重大贡献的研究人员以及专家们。
佩雷拉在10岁得到自己的第一台电脑后,花了几年的时间自学程式语
言,2016年佩雷拉赢得一场程式设计比赛,Google因此邀请他到位于加州
的总部,就在同一年佩雷拉将满17岁的前一个月,他成功抓到了Google的
第一个漏洞,自此开启了他的“抓漏人生”,不到17岁的男孩,凭著对技
术的热情,成功得到500美元(约合新台币1万4964元)的奖金,“我几乎
马上拿到奖金,感觉真的很惊人,从那时候开始,我就决定继续尝试。”
抓漏的成就像是一个被启动的开关,驱使佩雷拉不断尝试,去年7月
他又发现了另一个漏洞,得到1万美元(约合新台币29万9276元)奖金。
今年2月,他在Google应用服务引擎(Google App Engine,简称GAE)
上上传自己开发的App时,无意间成功登入GAE测试用的部署环境,发现了
暴露内部的API,经测试后佩雷拉发现,他竟可以对平台上的App执行一般
外部使用者无法执行的行为,通报后Google认定为远端程式码执行(remote
code engine, RCE)漏洞,连同另一个比较小型的漏洞,佩雷拉获得百万
奖金,Google已于本月初将问题修复,这笔奖金也是佩雷拉有史以来拿到
最大笔奖金的一次。
热情就是最大的娱乐
“我没有纾压管道,我看飞机就纾压了。机场就是我的夜店!”星宇
航空创办人张国炜受访时曾这么说,当一个人对一件事情的热情到了极致
,那不仅只是他的专业,更能成为人生中最大的乐趣。
今年上大学的佩雷拉(Ezequiel Pereira)就是如此,他在家乡乌拉
圭首都蒙特维多(Montevideo) 主修电脑工程,除了念书,他说每天最
大的娱乐,就是回家坐在电脑前找漏洞,去年夏天,他用抓漏获得的奖金
申请美国学校,想透过更好的教育完成更多自己喜欢的事,但佩雷拉一共
申请了20间美国的学校,但却一家都没有上,于是他决定透过自学精进技
术。
或许川流不止的困难才是人生的常态,佩雷拉分享,他身边的朋友从
来没有人靠着自己发现系统漏洞,“他们是感兴趣的,却常常认为自己懂
得不够多,我总是跟他们说,去试就对了!这些事每个人都能学。”佩雷
拉认为抓漏本就是一个不断挖掘、尝试的过程,鼓励身边的朋友应该大胆
尝试。
佩雷拉说目前的他还没有新的计画,打算努力存钱为未来做准备,希
望未来可以拿到电脑安全的硕士学历,而在这之前,他将会继续努力的抓
漏。