Vuodesta 2010 lähtien Google maksaa ihmisille siitä, että he löytävät tietoturvapuutteita suurimman digitaalisen alustan koodista.
Koska tämä järjestelmä on olemassa, yritys on maksanut yli 5 miljoonaa dollaria niille, jotka käyttivät aikaa tähän tarkoitukseen.
Katso lisää
Edunsaajat, joiden NIS 7 on päättynyt, saavat Bolsa Famílian tämän…
FGTS: n voitosta on jo päätetty ja se jaetaan työntekijöille…
Äskettäin hakujätti ilmoitti palkkioiden lisäämisestä maksulla enintään 150 000 dollaria ja muut kaksin- tai kolminkertaiset maksut.
Tähän mennessä on raportoitu 8 500 ilmoitusta ja maksua, soitettu bugipalkkiot. Näiden vastuiden maksut ovat yhteensä yli 5 miljoonaa dollaria.
Chromen haavoittuvuuspalkkioohjelma tarjoaa palkkion kaksinkertaistamisen "laaturaporteista" (15 000 dollarista 30 000 dollariin). Summa kolminkertaistuu, kun sinulla on perusraportti.
Laaturaportissa tulisi olla minimoitu testitapaus sekä analyysi, jolla on rooli selvitä vian syy, ehdotettu korjaustiedosto ja esittely mahdollisen virheen osoittamiseksi tapahtua.
Perusraportointitapauksissa on oltava minimoitu testi, jotta ongelmaa voidaan hyödyntää.
Laurie Mercer, HackerOnen tietoturvainsinööri, raportoi Googlen maksuista ja sanoo, että ne ovat erittäin hyvin taskuissa.
"Palkinto osallistujille, jotka voivat vaarantaa Chromebookin tai Chromeboxin, on yksi markkinoiden suurimmista palkinnoista nykyään", hän sanoi.
Hän lisäsi, että kelvollisen bugin lähettäminen tähän palkkioon "takaisisi paikan arvostetussa Google Hall of Famessa".
Kuitenkin verrattuna Zerodium, digitaalinen tietoturvayritys, joka tunnetaan parhaana maksajana tutkijoille, jotka löytävät puutteet ennen kuin yritykset itse, Google jättää toivomisen varaa. Yritys maksaa tyypillisesti 500 000 dollarin palkkion, kunhan se tarjoaa koodin etäsuorittamisen ja paikallisten oikeuksien eskaloinnin esimerkiksi Chromea vastaan.
Toisaalta laittomilla markkinoilla huutokaupat toteutetaan yrityksen järjestelmän puutteiden vuoksi, jolloin tarjotaan korkeita hintoja, joskus jopa korkeampia kuin tässä raportoidut palkinnot. Tämäntyyppiseen toimintaan liittyy kuitenkin riski, koska yksityisyydestä ja maksuista ei ole takeita. Puhumattakaan siitä, että näillä tutkijoilla ei ole mahdollisuutta esitellä töitään konferensseissa.
Sovellusten tietoturvatutkija Sean Wrightilla on joitain varoituksia aiheesta:
"Jos haluat rahaa, myyt Zerodiumille. Jos haluat olla eettinen, kerro siitä Googlelle. Ellei Google vastaa Zerodiumin maksamia summia, tämä ei todennäköisesti muutu."
Google myös palkitsee, kun se löytää "vikoja" "fuzzersista". Tämä on ohjelmisto, jota käytetään eri sovellusten parametrien testaamiseen. Sen toiminta perustuu virheellisten tai satunnaisten tietojen lisäämiseen, jotta kohdeohjelmisto romahtaa tai vuotaa muistia, jotta hyökkääjä voi käyttää sitä hyväkseen. Fuzzerit ovat yleinen ilmiö Googlessa, ja vikojen löytäjät palkitaan.
Googlen avulla on mahdollista luoda hyväksikäyttöketju ja vaarantaa Chromebook vierastilassa. Välittömät palkinnot ovat saatavilla kaikkialla.
Google Play Security Bounty -ohjelma on lisännyt tutkijoiden maksujen määrää tekemällä yhteistyötä hakkeritietoturva-alustan HackerOne kanssa. Tämä on ohjelma, joka palkitsee myös haavoittuvuuksia löytäneet, tällä kertaa vain suosituista sovelluksista. Arvo voi olla jopa 20 000 US$.
Katso myös:
