От 2010 г. на Google плаща на хората да откриват пропуски в сигурността в кода на най-голямата цифрова платформа.
Тъй като тази система се провежда, компанията е платила над 5 милиона долара на тези, които са отделили време за тази цел.
виж повече
Бенефициентите с края на NIS 7 получават Bolsa Família това...
Печалбата на FGTS вече е решена и ще бъде разпределена на работниците...
Наскоро гигантът за търсене обяви увеличението на наградите с плащане максимум $150 000 и други изплащания, удвояващи или утрояващи се по размер.
До момента са отчетени 8 500 сигнала и плащания, изв награди за грешки. Плащанията за тези експозиции възлизат на над 5 милиона долара.
Програмата за награди за уязвимост на Chrome предлага удвояване на премията за „доклади за качество“ (от $15k до $30k). Сумата се утроява, когато имате базов отчет.
Докладът за качество трябва да има минимизиран тестов случай, както и анализ, който играе ролята на определяне на причината за повреда, предложена корекция на корекция и демонстрация, за да посочите потенциален бъг случва се.
В случаите на отчитане на базовото ниво е необходимо да има минимизиран тест, така че проблемът да може да се използва.
Лори Мърсър, инженер по сигурността в HackerOne, докладва за плащанията на Google, като казва, че те са много добре осигурени.
„Наградата за участниците, които могат да компрометират Chromebook или Chromebox, е една от най-високите награди на пазара днес“, каза той.
Той добави, че изпращането на отговаряща на условията грешка за тази награда „ще гарантира място в престижната Зала на славата на Google“.
Въпреки това, в сравнение с нулев, компания за цифрова сигурност, известна като най-добрият платец на изследователи, които откриват недостатъци преди самите компании, Google оставя какво да се желае. Компанията обикновено плаща награда от $500 000, стига да предлага дистанционно изпълнение на код и локална ескалация на привилегии срещу Chrome, например.
От друга страна, на незаконните пазари търговете се провеждат поради пропуски в системата на компанията, така че се предлагат високи цени, понякога дори по-високи от наградите, отчетени тук. Този вид дейност обаче крие риск, тъй като няма гаранции за поверителност и плащане. Да не говорим, че тези изследователи нямат възможност да представят работата си на конференции.
Изследователят по сигурността на приложенията Шон Райт има някои предупреждения по темата:
„Ако искате парите, ще продадете на Zerodium. Ако искате да бъдете етични, ще уведомите Google. Освен ако Google не изравни сумите, платени от Zerodium, това едва ли ще се промени.“
Google също дава награда, когато открие "бъгове" в "fuzzers". Това е софтуер, използван за тестване на параметри на различни приложения. Функцията му се основава на процеса на вмъкване на невалидни или произволни данни, за да може целевият софтуер да се срине или да изтече памет, така че да може да бъде използван от нападател. Фузърите са често срещано явление в Google и тези, които открият грешки, са възнаградени.
Чрез Google е възможно да се създаде верига за експлойт и да се компрометира Chromebook в режим на гост. Незабавните награди са достъпни навсякъде.
Програмата Google Play Security Bounty увеличи сумата за изплащане за изследователи чрез партньорство с HackerOne, хакерска платформа за сигурност. Това е програма, която също възнаграждава онези, които открият уязвимости, само че този път в популярни приложения. Стойността може да достигне до 20 000 щатски долара.
Вижте също:
