三星最高赔偿1.4亿：“让你每月赚一辆进口车的钱” 白帽黑客心动不已[隐瞒⑤]

by Jun Youngjoo

by Park Eugenie

by Sim NaYoung

Published 27 May.2025 08:58(KST)

Updated 27 May.2025 16:06(KST)

open/close

遭黑客攻击也选择隐瞒的企业们

<第2部阴影中的博弈>
[2]向白帽黑客伸来的黑色诱惑

对白帽黑客 Jang Hyeongseok（Stealien）的专访

拿高额报酬成“富人”的黑帽黑客们
悄然在白帽黑客社交媒体上提出秘密交易
开价是官方悬赏金的10倍以上

“绝不能被黑钱的诱惑动摇”
正常经营的企业被击垮国家安全遭受威胁

由ChatGPT制作

世界上有两种黑客。一种是出于恶意窃取信息的黑帽黑客，另一种是防御这类攻击的白帽黑客。随着黑帽黑客可以通过难以追踪的加密货币获取天文数字的赎金（“身价”），向白帽黑客发出的隐秘邀约也开始增多。对方承诺给出丰厚报酬，招手让他们跨入“黑钱”的世界。就职于网络安全企业Steelian、担任白帽黑客的团队长 Jang Hyeongseok（32岁）也是曾经收到这种“恶魔诱惑”的人之一。他上月在接受《亚洲经济》采访时表示：“曾多次收到黑客组织发来的‘一起合作吧’‘做联合研究吧’之类的联络”，“也有组织承诺，只要加入他们的团队，每个月给一辆中型进口轿车价格的报酬”。

他从2014年起在国军网络作战司令部开始以白帽黑客身份活动，曾正式向谷歌Chrome和微软（Microsoft）的Edge、Windows操作系统及文档编辑器等产品提交安全漏洞报告。

网络安全企业Stealien所属白帽黑客团队负责人Jang Hyeongseok正在接受《亚洲经济》采访。记者 Park Yujin 提供

- 黑帽黑客是以什么方式发出邀约的？

那些善于在企业官网中发现易被攻破漏洞的白帽黑客名单，成了黑帽黑客拉拢白帽黑客的工具。他们会去寻找已经证明了自身能力的白帽黑客的社交媒体账号，悄悄发出邀请。就我而言，是通过X（原推特）收到“一起合作看看吧”的联络。即便不长期加入组织，只要把我们这些专家发现的漏洞信息交给他们，也会给出巨额报酬，这样的提议也有。对方开出的价码远高于把漏洞提供给相关企业时所能获得的奖金，至少是2~3倍，多的甚至能到10倍。

- 漏洞一旦落到黑帽黑客手里会怎样？

黑帽黑客之所以愿意出大价钱购买，是因为一旦这些信息泄露，企业就会陷入极度危险。我也收到了要求我出售漏洞的联络，但一次回复都没有。不仅是我，身边很多黑客都非常看重伦理责任。最可怕的是，一旦被金钱蒙蔽双眼卖出漏洞，就完全不知道这些信息会流向何处、被如何利用。一个原本完好无损的企业，可能会在瞬间倒塌；在极端情况下，敌对国家可能买下这些漏洞，用来发射导弹或引爆核电站。过去就曾出现过因网络攻击导致核设施受损的案例。业内有时会推测，某些黑客组织背后得到政府或国家层面的支持。也有国际报告指出，部分国家为了提升自身网络攻击能力，通过黑客组织实施“零日攻击”（在程序发布安全更新前，利用尚未修补的漏洞发动攻击），并为此提供资金。

- 白帽黑客是如何发现漏洞的？

漏洞，字面意思就是“安全上的缝隙”。某些程序表面看起来运行良好，但只要往内部一看，常常会藏着意想不到的失误。比如，网页浏览器这类程序，是由无数代码和复杂动作构成的。如果内存管理不当，或在特定情境下处理了错误的数值，就会产生可以被黑客利用的漏洞。白帽黑客为了寻找这些缝隙，会细致观察程序的运行情况。他们有时会使用“模糊测试（Fuzzing）”技术，自动输入各种不同的数值，观察是否出现异常反应；有时则干脆直接阅读代码，找出可疑的执行流程。就像一扇旧门，只要轻轻一晃就会哐当打开，代码中也存在那些不显眼却很松散的部分。有经验的白帽黑客能很快察觉到这种“感觉”。

- 能否举一个具体的例子？

安全性薄弱的官网在“文件上传”功能上尤其危险。黑客可以在本应用于上传PDF、JPG等文档或照片的地方，上传勒索软件的可执行文件。如果“登录”功能存在漏洞，管理员账号就有被盗用的风险。黑客会在输入账号的栏位中写入“ ' OR 1=1 -- ”这样的内容。乍一看像是一串密码般的符号，其实意思是“无论条件如何，一律放行”。如果网站的安全出现漏洞，就可能把这一请求误认为是正常访问，从而把内部信息暴露出来。只要顺着把网站或程序的代码读一遍，白帽黑客的眼里就会看到一些看上去像漏洞的流程，一旦发现，就会意识到存在风险。

- 企业是如何修补这些漏洞的？

漏洞好比官网上被凿开的洞，而勒索软件就像武器。要想不被攻击，首先就得把漏洞堵上。当白帽黑客提交问题报告后，企业内部的开发人员就会开始行动。他们会根据我们的报告开展补丁（修复）工作，封堵黑客可能入侵的缺口。大型企业或海外大型科技公司会为漏洞悬赏，鼓励白帽黑客通过正式渠道进行报告。根据漏洞严重程度，少则支付30万~50万韩元，多则可达数亿韩元。以三星电子为例，最低奖励为200美元，最高可达100万美元（折合韩币约2800万~14亿）。有的企业每季度还会举行颁奖仪式，提供酒店和机票邀请白帽黑客出席。白帽黑客的昵称、所报告的漏洞信息及奖金金额，会公布在各公司专门的安全应对网站上，这些就构成了白帽黑客的履历。具有讽刺意味的是，黑帽黑客正是通过这些履历来接近他们。

必读新闻

明年若达不到业绩就砍到9700万…“6亿 vs 4.6亿 vs 1.6亿”细看三星电子DS部门绩效奖金

▲谷歌在过去5年间（2020年至2024年）向正式报告漏洞的白帽黑客发放的奖金。去年支付给白帽黑客的金额共计1184万2651美元，折合约165亿韩元。

▲发现智能手机、平板电脑等三星移动设备安全漏洞的白帽黑客名单。三星每年会选出10人列入名人堂。“SVE”是三星为追踪和管理漏洞而赋予的唯一识别编号。

编辑者按在现实世界中，一旦发生劫持人质事件，总会有人报警——无论是受害者本人还是旁人，尽快通知警方才是当务之急。但因勒索软件引发的网络“劫持人质”事件却恰恰相反。受害企业即便被黑客抢走了全部时间和金钱，也只是一味忙着隐瞒。过去10年里，韩国勒索软件应急响应中心主任 Lee Hyeongtaek 先后应对了超过2万起勒索软件攻击。他表示：“像SK Telecom那样在遭遇黑客攻击后主动报案的企业，几乎可以说是凤毛麟角。即便遭受损失，也绝不向外界透露的企业，占到10家中的9家”，“黑客拿到钱就走的这种结构正在不断重复”。