美国国务院日前公布一份另类Bug Bounty(漏洞奖励计划),奖金高达1千万美元。不过,这个漏洞奖励计划和一般由漏洞披露平台或企业提供的计划不一样,这个正义奖励计划(Rewards for Justice,RFJ)是由美国国务院的外交安全局推出的计划,是针对如果有恶意人士依照外国政府只是或遭到恶意控制的情况下,针对美国关键基础设施发动各种网络攻击活动,或者是违反美国“计算机欺诈与滥用法案”(CFAA)等作为,只要可以提供攻击者的相关身份或位置信息,就可以得到奖金。
这个正义奖励计划从1984年开始,刚开始是为了对抗国际恐怖主义的反恐奖励措施,迄今,已经提供2亿美元的奖金,给超过一百名提供相关反恐信息的各界人士。但随着网络攻击逐渐普及,针对美国关键基础设施的恶意网络活动,除可视为违反美国“计算机欺诈与滥用法案”外,像是勒索软件一旦锁定关键基础设施发动攻击,便可视为是一种恐怖攻击活动。
因此,美国国务院此次推出的正义奖励计划的奖金,便针对锁定关键基础设施的各种网络恶意活动,不论是勒索软件针对关键基础设施发动攻击;例如,各种未经授权的联网行为,借此取得相关机密敏感信息;或者是恶意攻击行为,导致各种未经授权的信息传输,对受保护的计算机或系统造成损害,而这些受保护的计算机或系统则包括:影响美国各州或是国外商业或通信的信息系统在内。
为了确保外界提供的信息受到保障,美国国务院也在暗网,提供一个必须经由Tor(洋葱浏览器)连接的通信渠道,以确保信息和人员的安全性外,正义奖励计划也会和不同合作伙伴合作,确保信息可以快速处理和确认外,也会以加密货币支付相关奖金。