2010 óta a Google fizet az embereknek, hogy biztonsági hibákat találjanak a legnagyobb digitális platform kódjában.
Amióta ez a rendszer működik, a cég fizet több mint 5 millió dollár azoknak, akik erre szánták az idejüket.
többet látni
A Toyota bemutatja az új Corolla-t Brazíliában, HIHETETLEN áron; néz
CSODÁLATOS: A tudósok „előskori” pingvint találtak élve New…
Nemrég a keresőóriás bejelentette a jutalmak emelését, fizetéssel maximum 150 000 dollár és más, kétszeres vagy háromszoros összegű kifizetések.
Eddig 8500 bejelentést és kifizetést jelentettek, hívtak bug jutalmak. Az ilyen kitettségekért járó kifizetések több mint 5 millió dollárt tesznek ki.
A Chrome sebezhetőségi jutalomprogramja a „minőségi jelentésekért” (15 000 USD-ről 30 000 USD-ra) duplázást kínál. Az összeg megháromszorozódik, ha van egy alapjelentés.
A minőségi jelentésnek tartalmaznia kell egy minimális tesztesetet, valamint egy elemzést, amely szerepet játszik meghatározza a hiba okát, egy javasolt javítási javítást és egy demót, amely rámutat a lehetséges hibára megtörténni.
Az alapszintű jelentési esetekben minimális tesztet kell végezni, hogy a probléma kihasználható legyen.
Laurie Mercer, a HackerOne biztonsági mérnöke beszámol a Google fizetéseiről, mondván, hogy azok nagyon jól vannak zsebre vágva.
„A Chromebookot vagy Chromeboxot veszélyeztető résztvevők jutalma az egyik legmagasabb jutalom a mai piacon” – mondta.
Hozzátette, hogy egy jogosult hiba benyújtása ehhez a jutalomhoz "garantálja a helyet a Google tekintélyes Hírességek Csarnokában".
Ha azonban ahhoz hasonlítjuk Zerodium, egy digitális biztonsági cég, amely a legjobb fizetőnek számít azoknak a kutatóknak, akik maguk előtt fedezik fel a hibákat, a Google hagy kívánnivalót maga után. A cég általában 500 000 dolláros jutalmat fizet, ha például távoli kódfuttatást és helyi jogosultságok kiterjesztését kínálja a Chrome ellen.
Másrészt az illegális piacokon a cég rendszerének hibái miatt aukciókat bonyolítanak le, így magas, esetenként az itt közölt jutalmaknál magasabb árakat kínálnak. Ez a fajta tevékenység azonban kockázatot rejt magában, mivel nincs garancia a magánélet védelmére és a fizetésre. Arról nem is beszélve, hogy ezeknek a kutatóknak nincs lehetőségük konferenciákon bemutatni munkájukat.
Sean Wright alkalmazásbiztonsági kutatónak van néhány figyelmeztetése a témával kapcsolatban:
– Ha pénzt akarsz, eladod a Zerodiumnak. Ha etikus akar lenni, értesítse a Google-t. Hacsak a Google nem egyezik meg a Zerodium által fizetett összegekkel, ez valószínűleg nem fog változni.”
A Google is jutalmat ad, ha "hibákat" talál a "fuzzerekben". Ez egy szoftver, amelyet különféle alkalmazások paramétereinek tesztelésére használnak. Funkciója érvénytelen vagy véletlenszerű adatok beszúrásán alapul annak érdekében, hogy a célszoftver összeomoljon vagy kiszivárogjon a memória, hogy azt a támadó kihasználhassa. A fuzzerek gyakori jelenségek a Google-on, és a hibákat megtalálók jutalmat kapnak.
A Google-on keresztül lehetőség nyílik kihasználási lánc létrehozására és vendég módban feltörni a Chromebookot. Azonnali jutalmak mindenhol elérhetőek.
A Google Play Security Bounty Program megnövelte a kutatók kifizetési összegét a HackerOne-nel, egy hackerbiztonsági platformmal való együttműködés révén. Ez egy olyan program, amely azokat is megjutalmazza, akik sebezhetőséget találnak, ezúttal csak a népszerű alkalmazásokban. Az érték elérheti a 20 000 USD-t is.
Lásd még:
