Από το 2010, η Google πληρώνει τους ανθρώπους για να βρουν ελαττώματα ασφαλείας στον κώδικα της μεγαλύτερης ψηφιακής πλατφόρμας.
Από τότε που πραγματοποιείται αυτό το σύστημα, η εταιρεία έχει πληρώσει πάνω από 5 εκατομμύρια δολάρια σε αυτούς που αφιέρωσαν το χρόνο τους για αυτό το σκοπό.
δείτε περισσότερα
Η Toyota ανακοινώνει το νέο Corolla στη Βραζιλία με ΑΠΙΣΤΕΥΤΗ τιμή. Κοίτα
ΚΑΤΑΠΛΗΚΤΙΚΟ: Οι επιστήμονες βρήκαν «προϊστορικό» πιγκουίνο ζωντανό στη Νέα…
Πρόσφατα, ο γίγαντας της αναζήτησης ανακοίνωσε την αύξηση των ανταμοιβών, με πληρωμή μέγιστο ποσό 150.000 $ και άλλες πληρωμές που διπλασιάζονται ή τριπλασιάζονται σε μέγεθος.
Μέχρι στιγμής, έχουν αναφερθεί 8.500 αναφορές και πληρωμές bounties bug. Οι πληρωμές για αυτά τα ανοίγματα ανέρχονται σε περισσότερα από 5 εκατομμύρια δολάρια.
Το Πρόγραμμα Bounty για ευπάθειες του Chrome προσφέρει διπλασιασμό επιχορηγήσεων για "αναφορές ποιότητας" (από 15 χιλιάδες $ σε 30 χιλιάδες $). Το ποσό τριπλασιάζεται όταν έχετε μια αναφορά αναφοράς.
Μια αναφορά ποιότητας πρέπει να έχει μια ελαχιστοποιημένη περίπτωση δοκιμής, καθώς και μια ανάλυση που παίζει το ρόλο της προσδιορίστε την αιτία της αποτυχίας, μια προτεινόμενη ενημέρωση κώδικα και μια επίδειξη για να επισημάνετε ένα πιθανό σφάλμα να συμβεί.
Σε περιπτώσεις αναφοράς αναφοράς βάσης, πρέπει να υπάρχει μια ελαχιστοποιημένη δοκιμή, ώστε το ζήτημα να είναι εκμεταλλεύσιμο.
Η Laurie Mercer, μηχανικός ασφαλείας στο HackerOne, αναφέρει τις πληρωμές της Google, λέγοντας ότι έχουν πολύ καλή τσέπη.
«Η ανταμοιβή για τους συμμετέχοντες που μπορούν να παραβιάσουν ένα Chromebook ή Chromebox είναι μία από τις υψηλότερες ανταμοιβές στην αγορά σήμερα», είπε.
Πρόσθεσε ότι η υποβολή ενός κατάλληλου σφάλματος για αυτό το bounty «θα εγγυηθεί μια θέση στο διάσημο Hall of Fame της Google».
Ωστόσο, σε σύγκριση με Μηδενικό, μια εταιρεία ψηφιακής ασφάλειας, γνωστή ως ο καλύτερος πληρωτής σε ερευνητές που ανακαλύπτουν ελαττώματα πριν από τις ίδιες τις εταιρείες, η Google αφήνει κάτι να είναι επιθυμητό. Η εταιρεία συνήθως πληρώνει μπόνους 500.000 $ εφόσον προσφέρει απομακρυσμένη εκτέλεση κώδικα και κλιμάκωση τοπικών προνομίων έναντι του Chrome, για παράδειγμα.
Από την άλλη, σε παράνομες αγορές, γίνονται πλειστηριασμοί λόγω ελαττωμάτων στο σύστημα της εταιρείας, ώστε να προσφέρονται υψηλές τιμές, ενίοτε και υψηλότερες από τις ανταμοιβές που αναφέρονται εδώ. Ωστόσο, αυτό το είδος δραστηριότητας ενέχει έναν κίνδυνο, καθώς δεν υπάρχουν εγγυήσεις ιδιωτικότητας και πληρωμής. Για να μην αναφέρουμε ότι αυτοί οι ερευνητές δεν έχουν τη δυνατότητα να παρουσιάσουν τη δουλειά τους σε συνέδρια.
Ο ερευνητής ασφάλειας εφαρμογών Sean Wright έχει ορισμένες επιφυλάξεις σχετικά με το θέμα:
«Αν θέλεις τα χρήματα, θα τα πουλήσεις στη Zerodium. Εάν θέλετε να είστε ηθικοί, θα ενημερώσετε την Google. Αν η Google δεν αντιστοιχεί στα ποσά που πληρώνει η Zerodium, αυτό είναι απίθανο να αλλάξει."
Η Google δίνει επίσης ανταμοιβή όταν εντοπίσει "bugs" σε "fuzzers". Αυτό είναι ένα λογισμικό που χρησιμοποιείται για τον έλεγχο παραμέτρων διαφόρων εφαρμογών. Η λειτουργία του βασίζεται στη διαδικασία εισαγωγής μη έγκυρων ή τυχαίων δεδομένων προκειμένου το λογισμικό-στόχος να συμπτύξει ή να διαρρεύσει μνήμη, ώστε να μπορεί να εκμεταλλευτεί κάποιος εισβολέας. Τα Fuzzers είναι ένα σύνηθες φαινόμενο στο Google και όσοι βρίσκουν σφάλματα ανταμείβονται.
Μέσω της Google, είναι δυνατή η δημιουργία μιας αλυσίδας εκμετάλλευσης και η παραβίαση ενός Chromebook σε λειτουργία επισκέπτη. Οι άμεσες ανταμοιβές είναι διαθέσιμες παντού.
Το Πρόγραμμα Bounty Security του Google Play αύξησε το ποσό πληρωμής για τους ερευνητές μέσω μιας συνεργασίας με τη HackerOne, μια πλατφόρμα ασφάλειας χάκερ. Αυτό είναι ένα πρόγραμμα που επιβραβεύει επίσης όσους βρίσκουν ευπάθειες, μόνο αυτή τη φορά σε δημοφιλείς εφαρμογές. Το ποσό μπορεί να φτάσει έως και τα 20.000$.
Δείτε επίσης: