Od roku 2010, Google platí lidem za nalezení bezpečnostních chyb v kódu největší digitální platformy.
Vzhledem k tomu, že tento systém funguje, společnost zaplatila přes 5 milionů dolarů těm, kteří si na tento účel našli čas.
vidět víc
Příjemci s koncem NIS 7 obdrží Bolsa Família tento…
O zisku FGTS již bylo rozhodnuto a bude rozděleno mezi pracovníky…
Nedávno vyhledávací gigant oznámil zvýšení odměn s platbou maximálně 150 000 $ a další výplaty se zdvojnásobí nebo ztrojnásobí.
Dosud bylo nahlášeno 8500 hlášení a plateb, tzv odměny za chyby. Součet plateb za tyto expozice činí více než 5 milionů USD.
Program Chrome Vulnerability Bounty Program nabízí zdvojnásobení odměny za „zprávy o kvalitě“ (z 15 000 $ na 30 000 $). Částka se ztrojnásobí, pokud máte základní zprávu.
Zpráva o kvalitě by měla mít minimalizovaný testovací případ a také analýzu, která hraje roli určit příčinu selhání, navrhovanou opravu opravy a ukázku, která upozorní na potenciální chybu stát se.
V případech základního hlášení musí existovat minimalizovaný test, aby byl problém zneužitelný.
Laurie Mercer, bezpečnostní inženýr z HackerOne, informuje o platbách Google a říká, že jsou velmi dobře schované.
„Odměna pro účastníky, kteří mohou kompromitovat Chromebook nebo Chromebox, je jednou z nejvyšších odměn na dnešním trhu,“ řekl.
Dodal, že odeslání vhodné chyby pro tuto odměnu „zaručí místo v prestižní síni slávy Google“.
Nicméně při srovnání s zerodium, společnost zabývající se digitálním zabezpečením, známá jako nejlépe platící výzkumníkům, kteří odhalí nedostatky dříve než samotné společnosti, Google nechává něco být. Společnost obvykle vyplácí odměnu 500 000 USD, pokud například nabízí vzdálené spuštění kódu a eskalaci místních oprávnění proti Chrome.
Na druhé straně na nelegálních trzích se aukce provádějí kvůli chybám v systému společnosti, takže jsou nabízeny vysoké ceny, někdy dokonce vyšší, než jsou zde uváděné odměny. Tento typ činnosti však představuje riziko, protože neexistují žádné záruky soukromí a platby. Nemluvě o tom, že tito badatelé nemají možnost prezentovat svou práci na konferencích.
Výzkumník zabezpečení aplikací Sean Wright má k této záležitosti několik výhrad:
"Pokud chcete peníze, prodáte je Zerodium." Pokud se chcete chovat eticky, dejte Google vědět. Pokud Google nedorovná částky zaplacené společností Zerodium, je nepravděpodobné, že by se to změnilo.“
Google také dává odměnu, když najde „chyby“ v „fuzzerech“. Jedná se o software používaný k testování parametrů různých aplikací. Jeho funkce je založena na procesu vkládání neplatných nebo náhodných dat, aby se cílový software zhroutil nebo prosakoval paměť, aby jej mohl zneužít útočník. Fuzzery jsou na Googlu běžným jevem a ti, kteří najdou chyby, jsou odměněni.
Prostřednictvím Googlu je možné vytvořit exploit chain a kompromitovat Chromebook v režimu hosta. Okamžité odměny jsou k dispozici všude.
Program Google Play Security Bounty zvýšil výši výplat pro výzkumníky díky partnerství s HackerOne, platformou pro zabezpečení hackerů. Toto je program, který také odměňuje ty, kteří najdou zranitelnosti, tentokrát pouze v populárních aplikacích. Částka může dosáhnout až 20 000 USD.
Viz také: