Nuo 2010 m Google moka žmonėms už tai, kad didžiausios skaitmeninės platformos kode rastų saugumo trūkumų.
Kadangi ši sistema veikia, įmonė sumokėjo daugiau nei 5 mln tiems, kurie skyrė savo laiko šiam tikslui.
Žiūrėti daugiau
„Toyota“ pristato naują „Corolla“ Brazilijoje už NEĮTIKĖTINĘ kainą; žiūrėk
NUOSTABU: Naujajame mieste mokslininkai randa „priešistorinį“ pingviną gyvą…
Neseniai paieškos milžinas paskelbė padidinęs atlygį su mokėjimu daugiausia 150 000 USD ir kiti dvigubai arba trigubai didinami išmokėjimai.
Iki šiol pranešta apie 8500 ataskaitų ir mokėjimų, skambinta klaidų dovanos. Mokėjimai už šias pozicijas sudaro daugiau nei 5 mln.
„Chrome“ pažeidžiamumo premijų programa siūlo padvigubinti „kokybės ataskaitas“ (nuo 15 000 USD iki 30 000 USD). Suma patrigubinama, kai turite bazinę ataskaitą.
Kokybės ataskaitoje turėtų būti minimalus bandomasis atvejis, taip pat analizė, kuri atlieka svarbų vaidmenį nustatyti gedimo priežastį, siūlomą pataisymo pataisą ir demonstracinę versiją, kad būtų nurodyta galima klaida nutikti.
Pradiniais ataskaitų teikimo atvejais turi būti atliktas minimalus bandymas, kad problemą būtų galima išnaudoti.
Laurie Mercer, „HackerOne“ saugos inžinierė, praneša apie „Google“ mokėjimus, sakydama, kad jie yra labai gerai sukaupti.
„Atlygis dalyviams, galintiems pažeisti „Chromebook“ ar „Chromebox“, yra vienas didžiausių apdovanojimų šiandieninėje rinkoje“, – sakė jis.
Jis pridūrė, kad tinkamos klaidos pateikimas šiai dovanai „garantuotų vietą prestižinėje „Google“ šlovės muziejuje“.
Tačiau lyginant su nulinis, skaitmeninės saugos įmonė, žinoma kaip geriausia mokėtoja tyrėjams, kurie atranda trūkumus anksčiau nei pačios įmonės, „Google“ palieka norimų rezultatų. Bendrovė paprastai moka 500 000 USD premiją, jei, pavyzdžiui, siūlo nuotolinį kodo vykdymą ir vietinių privilegijų eskalavimą prieš „Chrome“.
Kita vertus, nelegaliose rinkose aukcionai vyksta dėl įmonės sistemos trūkumų, todėl siūlomos didelės kainos, kartais net didesnės nei čia skelbiami atlygiai. Tačiau tokio pobūdžio veikla yra susijusi su rizika, nes nėra jokių privatumo ir mokėjimo garantijų. Maža to, šie mokslininkai neturi galimybės pristatyti savo darbų konferencijose.
Programų saugos tyrinėtojas Seanas Wrightas šiuo klausimu turi keletą įspėjimų:
„Jei norite pinigų, parduosite „Zerodium“. Jei norite būti etiški, pranešite „Google“. Nebent „Google“ nesulygins „Zerodium“ sumokėtų sumų, greičiausiai tai nepasikeis.
„Google“ taip pat apdovanoja „klaidas“ „fuzzeriuose“. Tai programinė įranga, naudojama įvairių programų parametrams tikrinti. Jo funkcija pagrįsta neteisingų arba atsitiktinių duomenų įterpimo procesu, kad tikslinė programinė įranga sugriūtų arba nutekėtų atmintis, kad užpuolikas galėtų ja pasinaudoti. „Google“ sistemoje „pūkas“ yra įprastas reiškinys, o tie, kurie randa klaidų, yra apdovanoti.
Per „Google“ galima sukurti išnaudojimo grandinę ir pažeisti „Chromebook“ svečio režimu. Momentiniai apdovanojimai yra prieinami visame pasaulyje.
„Google Play Security Bounty“ programa padidino išmokų tyrėjams sumą, bendradarbiaudama su „HackerOne“, įsilaužėlių saugos platforma. Tai programa, kuri taip pat apdovanoja tuos, kurie randa spragų, tik šį kartą populiariose programėlėse. Vertė gali siekti iki 20 000 USD.
Taip pat žiūrėkite:
