Desde 2010, el Google paga a la gente para encontrar fallas de seguridad en el código de la plataforma digital más grande.
Desde que se lleva a cabo este sistema, la empresa ha pagado más de $ 5 millones a los que se tomaron su tiempo para este fin.
vea mas
Beneficiarios con fin de NIS 7 reciben Bolsa Família este…
La utilidad del FGTS ya fue decidida y será distribuida a los trabajadores…
Recientemente, el gigante de las búsquedas anunció el aumento de las recompensas, con un pago máximo de $ 150,000 y otros pagos que duplican o triplican su tamaño.
Hasta el momento se han reportado 8.500 reportes y pagos, denominados recompensas de errores. Los pagos por estas exposiciones suman más de $5 millones.
El Programa de recompensas por vulnerabilidades de Chrome ofrece la duplicación de recompensas por "informes de calidad" (de 15.000 a 30.000 dólares). La cantidad se triplica cuando tiene un informe de referencia.
Un informe de calidad debe tener un caso de prueba minimizado, así como un análisis que desempeñe el papel de determinar la causa de la falla, un parche de corrección sugerido y una demostración para señalar un error potencial suceder
En los casos de informes de referencia, debe haber una prueba minimizada para que el problema sea explotable.
Laurie Mercer, ingeniera de seguridad de HackerOne, informa sobre los pagos de Google y dice que están muy bien embolsados.
“La recompensa para los participantes que pueden comprometer un Chromebook o Chromebox es una de las recompensas más altas del mercado actual”, dijo.
Agregó que enviar un error elegible para esta recompensa "garantizaría un lugar en el prestigioso Salón de la Fama de Google".
Sin embargo, cuando se compara con cerodio, una empresa de seguridad digital, conocida como la que mejor paga a los investigadores que descubren fallas antes que las propias empresas, Google deja mucho que desear. Por lo general, la empresa paga una recompensa de $500,000 siempre que ofrezca la ejecución remota de código y la escalada de privilegios locales contra Chrome, por ejemplo.
Por otro lado, en los mercados ilegales se realizan subastas debido a fallas en el sistema de la empresa, por lo que se ofrecen precios elevados, en ocasiones incluso superiores a las recompensas aquí reportadas. Sin embargo, este tipo de actividad implica un riesgo, ya que no existen garantías de privacidad y pago. Sin mencionar que estos investigadores no tienen la oportunidad de presentar su trabajo en conferencias.
El investigador de seguridad de aplicaciones Sean Wright tiene algunas advertencias al respecto:
“Si quieres el dinero, venderás a Zerodium. Si quieres ser ético, se lo harás saber a Google. A menos que Google iguale las sumas pagadas por Zerodium, es poco probable que esto cambie”.
Google también otorga recompensas cuando encuentra "errores" en "fuzzers". Este es un software utilizado para probar parámetros de varias aplicaciones. Su función se basa en el proceso de insertar datos inválidos o aleatorios para que el software de destino colapse o pierda memoria para que pueda ser explotado por un atacante. Los fuzzers son una ocurrencia común en Google, y aquellos que encuentran errores son recompensados.
A través de Google, es posible crear una cadena de exploits y comprometer una Chromebook en modo invitado. Las recompensas instantáneas están disponibles en todos los ámbitos.
El Programa de recompensas de seguridad de Google Play ha aumentado el monto de pago para los investigadores al asociarse con HackerOne, una plataforma de seguridad para piratas informáticos. Este es un programa que también premia a quienes encuentran vulnerabilidades, solo que esta vez en aplicaciones populares. El valor puede alcanzar hasta US$ 20.000.
Vea también: