Od 2010. godine, Google plaća ljude da pronađu sigurnosne propuste u kodu najveće digitalne platforme.
Budući da se ovaj sustav odvija, tvrtka je platila preko 5 milijuna dolara onima koji su odvojili svoje vrijeme za ovu svrhu.
vidi više
Toyota najavljuje novu Corollu u Brazilu s NEVJEROJATNOM cijenom; izgled
NEVJEROJATNO: Znanstvenici pronašli 'prapovijesnog' pingvina živog u New…
Nedavno je pretraživački div najavio povećanje nagrada, uz isplatu maksimalno 150.000 dolara i druge isplate koje se udvostruče ili utrostruče.
Do sada je prijavljeno 8.500 prijava i uplata, tzv nagrade za bube. Plaćanja za te izloženosti iznose više od 5 milijuna USD.
Chrome Vulnerability Bounty Program nudi udvostručenje nagrade za "izvješća o kvaliteti" (od 15 tisuća USD do 30 tisuća USD). Iznos se utrostručuje kada imate osnovno izvješće.
Izvješće o kvaliteti treba imati minimiziran testni slučaj, kao i analizu koja igra ulogu utvrditi uzrok kvara, predloženu zakrpu popravka i demo kako bi ukazali na potencijalnu grešku dogoditi se.
U slučajevima osnovnog izvješćivanja, potreban je minimalizirani test kako bi se problem mogao iskoristiti.
Laurie Mercer, sigurnosni inženjer u HackerOneu, izvještava o Googleovim plaćanjima, rekavši da su vrlo dobro raspoređena.
"Nagrada za sudionike koji mogu kompromitirati Chromebook ili Chromebox jedna je od najvećih nagrada na današnjem tržištu", rekao je.
Dodao je da bi slanje buga koji ispunjava uvjete za ovu nagradu "zajamčilo mjesto u prestižnoj Googleovoj Kući slavnih".
Međutim, u usporedbi s nulti, tvrtka za digitalnu sigurnost, poznata kao najbolji platiša istraživačima koji otkrivaju nedostatke prije samih tvrtki, Google ostavlja nedostatke želja. Tvrtka obično plaća nagradu od 500.000 dolara sve dok nudi daljinsko izvršavanje koda i lokalnu eskalaciju privilegija protiv Chromea, na primjer.
S druge strane, na ilegalnim tržištima aukcije se provode zbog nedostataka u sustavu tvrtke, tako da se nude visoke cijene, ponekad i više od ovdje navedenih nagrada. Međutim, ova vrsta aktivnosti uključuje rizik, jer nema jamstava privatnosti i plaćanja. Da ne govorimo o tome da ti istraživači nemaju priliku prezentirati svoje radove na konferencijama.
Istraživač sigurnosti aplikacija Sean Wright ima neka upozorenja po tom pitanju:
“Ako želiš novac, prodat ćeš Zerodiumu. Ako želite biti etični, obavijestit ćete Google. Osim ako Google ne izjednači iznose koje je platio Zerodium, to se vjerojatno neće promijeniti.”
Google također daje nagradu kada pronađe "bugove" u "fuzzerima". Ovo je softver koji se koristi za testiranje parametara raznih aplikacija. Njegova se funkcija temelji na procesu umetanja nevažećih ili nasumičnih podataka kako bi se ciljni softver srušio ili propustio memoriju kako bi ga napadač mogao iskoristiti. Fuzzeri su česta pojava na Googleu, a oni koji pronađu bugove bivaju nagrađeni.
Putem Googlea moguće je stvoriti lanac iskorištavanja i kompromitirati Chromebook u gostujućem načinu rada. Trenutačne nagrade dostupne su posvuda.
Google Play Security Bounty Program povećao je iznos isplate za istraživače kroz partnerstvo s HackerOne, hakerskom sigurnosnom platformom. Ovo je program koji također nagrađuje one koji pronađu ranjivosti, samo ovaj put u popularnim aplikacijama. Vrijednost može doseći i do 20.000 USD.
Vidi također: