Sejak tahun 2010, Google membayar orang untuk menemukan kelemahan keamanan dalam kode platform digital terbesar.
Sejak sistem ini berlaku, perusahaan telah membayar lebih dari $5 juta kepada mereka yang meluangkan waktunya untuk tujuan ini.
lihat lebih banyak
Toyota mengumumkan Corolla baru di Brasil dengan harga yang LUAR BIASA; Lihat
LUAR BIASA: Para ilmuwan menemukan penguin 'prasejarah' hidup di…
Baru-baru ini, raksasa pencarian mengumumkan peningkatan hadiah, dengan pembayaran maksimal $150.000 dan pembayaran lainnya yang berlipat ganda atau tiga kali lipat.
Sejauh ini, 8.500 laporan dan pembayaran telah dilaporkan, disebut hadiah bug. Pembayaran untuk paparan ini berjumlah lebih dari $5 juta.
Program Bounty Kerentanan Chrome menawarkan penggandaan hadiah untuk "laporan kualitas" (dari $15k menjadi $30k). Jumlahnya tiga kali lipat bila Anda memiliki laporan dasar.
Laporan kualitas harus memiliki kasus uji yang diminimalkan, serta analisis yang berperan tentukan penyebab kegagalan, tambalan perbaikan yang disarankan, dan demo untuk menunjukkan potensi bug terjadi.
Dalam kasus pelaporan dasar, perlu ada pengujian yang diminimalkan agar masalahnya dapat dieksploitasi.
Laurie Mercer, seorang insinyur keamanan di HackerOne, melaporkan pembayaran Google, mengatakan bahwa mereka memiliki kantong yang sangat baik.
“Hadiah untuk peserta yang dapat berkompromi dengan Chromebook atau Chromebox adalah salah satu penghargaan tertinggi di pasar saat ini,” katanya.
Dia menambahkan bahwa mengirimkan bug yang memenuhi syarat untuk hadiah ini "akan menjamin tempat di Google Hall of Fame yang bergengsi".
Namun jika dibandingkan dengan Zerodium, sebuah perusahaan keamanan digital, yang dikenal sebagai pembayar terbaik bagi para peneliti yang menemukan kekurangan sebelum perusahaan itu sendiri, Google meninggalkan sesuatu yang diinginkan. Perusahaan biasanya membayar hadiah $500.000 asalkan menawarkan eksekusi kode jarak jauh dan eskalasi hak istimewa lokal terhadap Chrome, misalnya.
Di sisi lain, di pasar ilegal, lelang dilakukan karena kelemahan sistem perusahaan, sehingga harga yang ditawarkan tinggi, terkadang bahkan lebih tinggi dari hadiah yang dilaporkan di sini. Namun, jenis aktivitas ini mengandung risiko, karena tidak ada jaminan privasi dan pembayaran. Belum lagi para peneliti ini tidak memiliki kesempatan untuk mempresentasikan karyanya di konferensi.
Peneliti keamanan aplikasi Sean Wright memiliki beberapa peringatan tentang masalah ini:
“Jika kamu menginginkan uangnya, kamu akan menjualnya ke Zerodium. Jika Anda ingin bersikap etis, beri tahu Google. Kecuali Google mencocokkan jumlah yang dibayarkan oleh Zerodium, ini tidak mungkin berubah.”
Google juga memberikan reward bila ditemukan "bug" di "fuzzers". Ini adalah perangkat lunak yang digunakan untuk menguji parameter berbagai aplikasi. Fungsinya didasarkan pada proses memasukkan data yang tidak valid atau acak agar perangkat lunak target runtuh atau membocorkan memori sehingga dapat dimanfaatkan oleh penyerang. Fuzzers adalah kejadian umum di Google, dan mereka yang menemukan bug diberi hadiah.
Melalui Google, dimungkinkan untuk membuat rantai eksploitasi dan mengkompromikan Chromebook dalam mode tamu. Hadiah instan tersedia di seluruh papan.
Program Bounty Keamanan Google Play telah meningkatkan jumlah pembayaran untuk peneliti dengan bermitra dengan HackerOne, platform keamanan peretas. Ini adalah program yang juga memberi penghargaan kepada mereka yang menemukan kerentanan, hanya kali ini di aplikasi populer. Nilainya bisa mencapai US$ 20.000.
Lihat juga:
