מאז 2010, ה גוגל משלם לאנשים למצוא פגמי אבטחה בקוד של הפלטפורמה הדיגיטלית הגדולה ביותר.
מאז שמערכת זו מתקיימת, החברה שילמה מעל 5 מיליון דולר לאלה שלקחו את זמנם למטרה זו.
ראה עוד
טויוטה מכריזה על קורולה חדשה בברזיל עם מחיר לא ייאמן; תראה
מדהים: מדענים מוצאים פינגווין 'פרהיסטורי' בחיים ב-New…
לאחרונה הודיעה ענקית החיפוש על הגדלת התגמולים, עם תשלום מקסימום 150,000 $ ותשלומים אחרים מכפילים או משולשים בגודלם.
עד כה דווחו 8,500 דוחות ותשלומים, שנקראו פרסי באג. התשלומים בגין חשיפות אלו מסתכמים ביותר מ-5 מיליון דולר.
תוכנית Chrome Vulnerability Bounty מציעה הכפלת פרס עבור "דוחות איכותיים" (מ-$15,000 ל-$30,000). הסכום משולש כאשר יש לך דוח בסיס.
דו"ח איכות צריך להיות מקרה בדיקה ממוזער, כמו גם ניתוח הממלא את התפקיד של לקבוע את סיבת הכשל, תיקון מוצע והדגמה כדי להצביע על באג פוטנציאלי לקרות.
במקרים של דיווח בסיסי, צריך להיות בדיקה ממוזערת כדי שהבעיה תהיה ניתנת לניצול.
לורי מרסר, מהנדסת אבטחה ב-HackerOne, מדווחת על התשלומים של גוגל ואומרת שהם מכונסים היטב.
"התגמול למשתתפים שיכולים להתפשר על Chromebook או Chromebox הוא אחד התגמולים הגבוהים ביותר בשוק כיום", אמר.
הוא הוסיף כי הגשת באג זכאי לפרס זה "תבטיח מקום בהיכל התהילה היוקרתי של גוגל".
עם זאת, בהשוואה ל אפס, חברת אבטחה דיגיטלית, הידועה בתור המשלמת הטובה ביותר לחוקרים שמגלים פגמים לפני החברות עצמן, גוגל משאירה משהו לרצוי. החברה בדרך כלל משלמת פרס של $500,000 כל עוד היא מציעה ביצוע קוד מרחוק והסלמה מקומית של הרשאות כנגד Chrome, למשל.
מנגד, בשווקים לא חוקיים מתבצעים מכרזים עקב ליקויים במערכת החברה, כך שמוצעים מחירים גבוהים, לעיתים אף גבוהים מהתגמול המדווח כאן. עם זאת, פעילות מסוג זה כרוכה בסיכון, שכן אין הבטחות לפרטיות ולתשלום. שלא לדבר על כך שאין לחוקרים הללו הזדמנות להציג את עבודתם בכנסים.
לחוקר אבטחת היישומים שון רייט יש כמה אזהרות בעניין:
"אם אתה רוצה את הכסף, תמכור ל-Zerodium. אם אתה רוצה להיות מוסרי, תודיע ל-Google. אלא אם כן גוגל תשווה את הסכומים ששילם זירודיום, זה לא סביר שישתנה".
גוגל גם נותנת תגמול כאשר מוצאים "באגים" ב-"fuzzers". זוהי תוכנה המשמשת לבדיקת פרמטרים של יישומים שונים. הפונקציה שלו מבוססת על תהליך של הכנסת נתונים לא חוקיים או אקראיים על מנת שתוכנת היעד תקרוס או תדלוף זיכרון כך שניתן יהיה לנצל אותה על ידי תוקף. Fuzzers הם תופעה שכיחה בגוגל, ומי שמוצא באגים מתוגמל.
באמצעות גוגל, ניתן ליצור שרשרת ניצול ולהתפשר על Chromebook במצב אורח. תגמולים מיידיים זמינים בכל רחבי הלוח.
תוכנית Google Play Security Bounty הגדילה את סכום התשלום לחוקרים באמצעות שותפות עם HackerOne, פלטפורמת אבטחת האקרים. מדובר בתוכנית שמתגמלת גם את מי שמוצא נקודות תורפה, רק שהפעם באפליקציות פופולריות. הערך יכול להגיע עד 20,000 דולר ארה"ב.
ראה גם:
