Seit 2010 ist die Google bezahlt Menschen dafür, Sicherheitslücken im Code der größten digitalen Plattform zu finden.
Seitdem dieses System existiert, hat das Unternehmen bezahlt über 5 Millionen US-Dollar an diejenigen, die sich dafür Zeit genommen haben.
Mehr sehen
Toyota kündigt in Brasilien den neuen Corolla zu einem UNGLAUBLICHEN Preis an; sehen
ERSTAUNLICH: Wissenschaftler finden „prähistorischen“ Pinguin lebend in New …
Kürzlich kündigte der Suchriese die Erhöhung der Prämien mit einer Zahlung an maximal 150.000 $ und andere Auszahlungen verdoppeln oder verdreifachen sich.
Bisher wurden 8.500 Meldungen und Zahlungen gemeldet, aufgerufen Fehlerprämien. Die Zahlungen für diese Engagements belaufen sich auf mehr als 5 Millionen US-Dollar.
Das Chrome Vulnerability Bounty Program bietet eine Verdoppelung des Kopfgeldes für „Qualitätsberichte“ (von 15.000 $ auf 30.000 $). Der Betrag verdreifacht sich, wenn Sie einen Basisbericht haben.
Ein Qualitätsbericht sollte einen minimierten Testfall sowie eine Analyse enthalten, die die Rolle spielt Ermitteln Sie die Fehlerursache, einen empfohlenen Fix-Patch und eine Demo, um auf einen möglichen Fehler hinzuweisen passieren.
In Baseline-Reporting-Fällen muss ein minimierter Test durchgeführt werden, damit das Problem ausgenutzt werden kann.
Laurie Mercer, Sicherheitsingenieurin bei HackerOne, berichtet über die Zahlungen von Google und sagt, dass diese sehr gut finanziert seien.
„Die Belohnung für Teilnehmer, die ein Chromebook oder eine Chromebox kompromittieren können, ist eine der höchsten Belohnungen auf dem heutigen Markt“, sagte er.
Er fügte hinzu, dass die Einreichung eines berechtigten Fehlers für diese Prämie „einen Platz in der prestigeträchtigen Google Hall of Fame garantieren würde“.
Allerdings im Vergleich zu Nullodium, ein Unternehmen für digitale Sicherheit, das als bester Zahler für Forscher bekannt ist, die Schwachstellen entdecken, bevor die Unternehmen selbst, lässt Google zu wünschen übrig. Das Unternehmen zahlt in der Regel ein Kopfgeld von 500.000 US-Dollar, solange es beispielsweise Remote-Codeausführung und lokale Rechteausweitung gegen Chrome anbietet.
Andererseits werden auf illegalen Märkten Auktionen aufgrund von Fehlern im System des Unternehmens durchgeführt, sodass hohe Preise geboten werden, teilweise sogar höher als die hier gemeldeten Belohnungen. Allerdings birgt diese Art von Aktivität ein Risiko, da es keine Garantien für Privatsphäre und Bezahlung gibt. Ganz zu schweigen davon, dass diese Forscher keine Möglichkeit haben, ihre Arbeit auf Konferenzen vorzustellen.
Der Anwendungssicherheitsforscher Sean Wright hat diesbezüglich einige Vorbehalte:
„Wenn Sie das Geld wollen, verkaufen Sie es an Zerodium. Wenn Sie ethisch handeln möchten, teilen Sie dies Google mit. Sofern Google die von Zerodium gezahlten Beträge nicht gleicht, wird sich daran wahrscheinlich nichts ändern.“
Google belohnt auch, wenn in „Fuzzern“ „Bugs“ gefunden werden. Hierbei handelt es sich um eine Software zum Testen von Parametern verschiedener Anwendungen. Seine Funktion basiert auf dem Prozess des Einfügens ungültiger oder zufälliger Daten, damit die Zielsoftware zusammenbricht oder Speicher verliert, sodass sie von einem Angreifer ausgenutzt werden kann. Fuzzer kommen bei Google häufig vor und wer Fehler findet, wird belohnt.
Über Google ist es möglich, eine Exploit-Kette zu erstellen und ein Chromebook im Gastmodus zu kompromittieren. Sofortprämien sind überall verfügbar.
Das Google Play Security Bounty Program hat den Auszahlungsbetrag für Forscher durch eine Partnerschaft mit HackerOne, einer Hacker-Sicherheitsplattform, erhöht. Hierbei handelt es sich um ein Programm, das auch diejenigen belohnt, die Schwachstellen finden, dieses Mal jedoch in beliebten Apps. Der Wert kann bis zu 20.000 US-Dollar betragen.
Auch sehen:
