Kopš 2010. gada Google maksā cilvēkiem, lai atrastu drošības nepilnības lielākās digitālās platformas kodā.
Kopš šī sistēma darbojas, uzņēmums ir samaksājis vairāk nekā 5 miljoni ASV dolāru tiem, kas veltīja laiku šim mērķim.
redzēt vairāk
Toyota Brazīlijā paziņo par jaunu Corolla ar NETICAMU cenu; Skaties
APbrīnojami: Zinātnieki atrod dzīvu “aizvēsturisku” pingvīnu Ņū…
Nesen meklēšanas gigants paziņoja par atlīdzības palielināšanu, veicot maksājumu maksimāli 150 000 USD un citas izmaksas, kas dubultojas vai trīskāršojas.
Līdz šim pieteikti 8500 ziņojumi un maksājumi, zvanīti kļūdu balvas. Maksājumi par šiem riska darījumiem kopā sasniedz vairāk nekā 5 miljonus ASV dolāru.
Chrome ievainojamības atlīdzības programma piedāvā atlīdzības dubultošanu par “kvalitātes pārskatiem” (no 15 000 USD līdz 30 000 USD). Summa tiek trīskāršota, ja jums ir bāzes pārskats.
Kvalitātes ziņojumā jābūt minimālam pārbaudes gadījumam, kā arī analīzei, kas spēlē lomu noteikt kļūmes cēloni, ieteikto labojumu ielāpu un demonstrāciju, lai norādītu uz iespējamo kļūdu notikt.
Sākotnējās ziņošanas gadījumos ir jāveic minimāla pārbaude, lai problēmu varētu izmantot.
Lorija Mersere, HackerOne drošības inženiere, ziņo par Google maksājumiem, sakot, ka tie ir ļoti labi iemaksāti.
"Atlīdzība dalībniekiem, kuri var apdraudēt Chromebook datoru vai Chromebox datoru, ir viena no augstākajām atlīdzībām mūsdienu tirgū," viņš teica.
Viņš piebilda, ka atbilstošas kļūdas iesniegšana šai balvai "garantētu vietu prestižajā Google slavas zālē".
Tomēr, salīdzinot ar nulle, digitālās drošības uzņēmums, kas pazīstams kā labākais maksātājs pētniekiem, kuri atklāj trūkumus pirms pašu uzņēmumu, Google atstāj ko vēlēties. Uzņēmums parasti maksā 500 000 $ atlīdzību, ja, piemēram, piedāvā attālu koda izpildi un vietējo privilēģiju eskalāciju pret pārlūku Chrome.
Savukārt nelegālajos tirgos izsoles tiek rīkotas nepilnību dēļ uzņēmuma sistēmā, tādējādi tiek piedāvātas augstas cenas, dažkārt pat augstākas par šeit norādītajām atlīdzībām. Tomēr šāda veida darbība ir saistīta ar risku, jo nav garantijas par privātumu un samaksu. Nemaz nerunājot par to, ka šiem pētniekiem nav iespējas prezentēt savus darbus konferencēs.
Lietojumprogrammu drošības pētniekam Šonam Raitam ir daži brīdinājumi par šo tēmu:
"Ja vēlaties naudu, jūs pārdosit Zerodium. Ja vēlaties būt ētisks, paziņojiet par to uzņēmumam Google. Ja vien Google nesalīdzinās Zerodium samaksātās summas, tas, visticamāk, nemainīsies.
Google arī piešķir atlīdzību, ja tiek atrastas "bugs" "fuzzers". Šī ir programmatūra, ko izmanto dažādu lietojumprogrammu parametru pārbaudei. Tās funkcija ir balstīta uz nederīgu vai nejaušu datu ievietošanas procesu, lai mērķa programmatūra sabruktu vai izplūstu atmiņa, lai uzbrucējs to varētu izmantot. Izplūdes ir izplatīta parādība Google tīklā, un tie, kas atrod kļūdas, tiek atalgoti.
Izmantojot Google, ir iespējams izveidot izmantošanas ķēdi un apdraudēt Chromebook datoru viesa režīmā. Tūlītējas balvas ir pieejamas visās jomās.
Programma Google Play Security Bounty ir palielinājusi pētnieku izmaksu summu, sadarbojoties ar hakeru drošības platformu HackerOne. Šī ir programma, kas arī apbalvo tos, kuri atrod ievainojamības, tikai šoreiz populārajās lietotnēs. Vērtība var sasniegt līdz 20 000 USD.
Skatīt arī:
