靠「抓漏」賺進百萬! 17 歲少年一連揪出 5 次 Google 漏洞,
輝煌成就登上 Google 名人堂!
如何讓整個世界成為你的智囊團?結合群眾的力量或許是最有力的作
法,近來包括Facebook、Google等社群平台、網路服務商,為了確保系統
的安全性,都推出漏洞通報獎勵計畫,透過高額獎金當獎勵,開放全世界
用戶一起抓漏洞。
佩雷拉(Ezequiel Pereira)前前後後已經幫助Google揪出系統漏洞
五次,今年他在Google應用服務引擎上發現的一項漏洞,獲得了36,337美
元(約合新台幣108萬元)的獎金,除了成為個人紀錄史上金額最高的一次
,也藉由「抓漏」替自己賺進了人生第一桶金。
成功五度抓漏,登上Google名人堂第12名
Google旗下的抓漏獎勵專案(Vulnerability Reward Program),依
據漏洞的壞程度,提供抓漏者獎金,據Google統計,去年(2017)一整年
總共向274名研究人員,發出290萬美元(約合新台幣8679萬元)的獎金,
其中最高的一筆是112,500美元(約合新台幣336.69萬元)。
因成功五度抓漏,登上Google名人堂(Hall of Fame)第12名的佩雷拉
(Ezequiel Pereira),今年才17歲。名人堂上為對Google抓漏計畫具有
重大貢獻的研究人員以及專家們。
佩雷拉在10歲得到自己的第一台電腦後,花了幾年的時間自學程式語
言,2016年佩雷拉贏得一場程式設計比賽,Google因此邀請他到位於加州
的總部,就在同一年佩雷拉將滿17歲的前一個月,他成功抓到了Google的
第一個漏洞,自此開啟了他的「抓漏人生」,不到17歲的男孩,憑著對技
術的熱情,成功得到500美元(約合新台幣1萬4964元)的獎金,「我幾乎
馬上拿到獎金,感覺真的很驚人,從那時候開始,我就決定繼續嘗試。」
抓漏的成就像是一個被啟動的開關,驅使佩雷拉不斷嘗試,去年7月
他又發現了另一個漏洞,得到1萬美元(約合新台幣29萬9276元)獎金。
今年2月,他在Google應用服務引擎(Google App Engine,簡稱GAE)
上上傳自己開發的App時,無意間成功登入GAE測試用的部署環境,發現了
暴露內部的API,經測試後佩雷拉發現,他竟可以對平台上的App執行一般
外部使用者無法執行的行為,通報後Google認定為遠端程式碼執行(remote
code engine, RCE)漏洞,連同另一個比較小型的漏洞,佩雷拉獲得百萬
獎金,Google已於本月初將問題修復,這筆獎金也是佩雷拉有史以來拿到
最大筆獎金的一次。
熱情就是最大的娛樂
「我沒有紓壓管道,我看飛機就紓壓了。機場就是我的夜店!」星宇
航空創辦人張國煒受訪時曾這麼說,當一個人對一件事情的熱情到了極致
,那不僅只是他的專業,更能成為人生中最大的樂趣。
今年上大學的佩雷拉(Ezequiel Pereira)就是如此,他在家鄉烏拉
圭首都蒙特維多(Montevideo) 主修電腦工程,除了念書,他說每天最
大的娛樂,就是回家坐在電腦前找漏洞,去年夏天,他用抓漏獲得的獎金
申請美國學校,想透過更好的教育完成更多自己喜歡的事,但佩雷拉一共
申請了20間美國的學校,但卻一家都沒有上,於是他決定透過自學精進技
術。
或許川流不止的困難才是人生的常態,佩雷拉分享,他身邊的朋友從
來沒有人靠著自己發現系統漏洞,「他們是感興趣的,卻常常認為自己懂
得不夠多,我總是跟他們說,去試就對了!這些事每個人都能學。」佩雷
拉認為抓漏本就是一個不斷挖掘、嘗試的過程,鼓勵身邊的朋友應該大膽
嘗試。
佩雷拉說目前的他還沒有新的計畫,打算努力存錢為未來做準備,希
望未來可以拿到電腦安全的碩士學歷,而在這之前,他將會繼續努力的抓
漏。