Dal 2010 il Google paga le persone per trovare falle di sicurezza nel codice della più grande piattaforma digitale.
Poiché questo sistema ha luogo, l'azienda ha pagato oltre 5 milioni di dollari a coloro che hanno impiegato il loro tempo per questo scopo.
Vedi altro
I beneficiari con la fine di NIS 7 ricevono Bolsa Família questo...
L'utile FGTS è già stato deciso e sarà distribuito ai lavoratori...
Di recente, il colosso della ricerca ha annunciato l'aumento delle ricompense, con un pagamento massimo di $ 150.000 e altri pagamenti raddoppiando o triplicando le dimensioni.
Finora sono state segnalate, chiamate, 8.500 segnalazioni e pagamenti taglie bug. I pagamenti per queste esposizioni ammontano a più di $ 5 milioni.
Il Chrome Vulnerability Bounty Program offre il raddoppio della taglia per i "rapporti sulla qualità" (da $ 15.000 a $ 30.000). L'importo viene triplicato quando si dispone di un rapporto di riferimento.
Un rapporto sulla qualità dovrebbe avere un caso di test ridotto al minimo, nonché un'analisi che svolge il ruolo di determinare la causa dell'errore, una patch di correzione suggerita e una demo per segnalare un potenziale bug accadere.
Nei casi di segnalazione di base, è necessario un test ridotto al minimo in modo che il problema sia sfruttabile.
Laurie Mercer, un ingegnere della sicurezza presso HackerOne, riferisce sui pagamenti di Google, dicendo che sono molto ben intascati.
"La ricompensa per i partecipanti che possono compromettere un Chromebook o un Chromebox è una delle ricompense più alte oggi sul mercato", ha affermato.
Ha aggiunto che l'invio di un bug idoneo per questa taglia "garantirebbe un posto nella prestigiosa Google Hall of Fame".
Tuttavia, rispetto a zerodio, una società di sicurezza digitale, nota come il miglior pagatore per i ricercatori che scoprono falle prima delle società stesse, Google lascia a desiderare. L'azienda in genere paga una taglia di $ 500.000 a condizione che offra l'esecuzione di codice remoto e l'escalation dei privilegi locali contro Chrome, ad esempio.
D'altra parte, nei mercati illegali, le aste vengono effettuate a causa di falle nel sistema dell'azienda, quindi vengono offerti prezzi elevati, a volte anche superiori ai premi qui riportati. Tuttavia, questo tipo di attività comporta un rischio, poiché non ci sono garanzie di privacy e pagamento. Senza contare che questi ricercatori non hanno la possibilità di presentare il proprio lavoro ai convegni.
Il ricercatore di sicurezza delle applicazioni Sean Wright ha alcuni avvertimenti sull'argomento:
“Se vuoi i soldi, li venderai a Zerodium. Se vuoi essere etico, lo farai sapere a Google. A meno che Google non corrisponda alle somme pagate da Zerodium, è improbabile che questo cambi.
Google premia anche quando trova "bug" in "fuzzers". Questo è un software utilizzato per testare i parametri di varie applicazioni. La sua funzione si basa sul processo di inserimento di dati non validi o casuali in modo che il software di destinazione collassi o perda memoria in modo che possa essere sfruttato da un utente malintenzionato. I fuzzer sono un evento comune su Google e coloro che trovano bug vengono premiati.
Tramite Google è possibile creare una catena di exploit e compromettere un Chromebook in modalità ospite. I premi istantanei sono disponibili su tutta la linea.
Il programma Google Play Security Bounty ha aumentato l'importo del pagamento per i ricercatori collaborando con HackerOne, una piattaforma di sicurezza degli hacker. Questo è un programma che premia anche chi trova vulnerabilità, solo questa volta nelle app popolari. Il valore può raggiungere fino a US $ 20.000.
Vedi anche:
