Sinds 2010 is de Google betaalt mensen om beveiligingsfouten te vinden in de code van het grootste digitale platform.
Sinds dit systeem plaatsvindt, heeft het bedrijf betaald meer dan $ 5 miljoen aan degenen die hiervoor de tijd hebben genomen.
Bekijk meer
Begunstigden met het einde van NIS 7 ontvangen Bolsa Família deze...
De FGTS-winst is al bepaald en zal worden uitgekeerd aan de arbeiders...
Onlangs kondigde de zoekgigant de verhoging van de beloningen aan, met een betaling maximaal $ 150.000 en andere uitbetalingen die in omvang verdubbelen of verdrievoudigen.
Tot nu toe zijn er 8.500 meldingen en betalingen gedaan, gebeld bug premies. Betalingen voor deze blootstellingen bedragen in totaal meer dan $ 5 miljoen.
Het Chrome Vulnerability Bounty-programma biedt bounty-verdubbeling voor "kwaliteitsrapporten" (van $ 15.000 tot $ 30.000). Het bedrag wordt verdrievoudigd wanneer u een basisrapport hebt.
Een kwaliteitsrapport moet een geminimaliseerde testcase hebben, evenals een analyse die de rol speelt van de oorzaak van de storing bepalen, een voorgestelde fix-patch en een demo om op een mogelijke bug te wijzen gebeuren.
In basisrapportagegevallen moet er een geminimaliseerde test zijn, zodat het probleem kan worden misbruikt.
Laurie Mercer, een beveiligingsingenieur bij HackerOne, rapporteert over de betalingen van Google en zegt dat ze zeer goed gepot zijn.
"De beloning voor deelnemers die een Chromebook of Chromebox kunnen compromitteren, is een van de hoogste beloningen die momenteel op de markt zijn", zei hij.
Hij voegde eraan toe dat het indienen van een in aanmerking komende bug voor deze bounty "een plaats in de prestigieuze Google Hall of Fame zou garanderen".
Echter, in vergelijking met Zodium, een digitaal beveiligingsbedrijf dat bekend staat als de beste betaler van onderzoekers die gebreken ontdekken voordat de bedrijven zelf, laat Google te wensen over. Het bedrijf betaalt doorgaans een bounty van $ 500.000, zolang het bijvoorbeeld externe code-uitvoering en lokale privilege-escalatie tegen Chrome biedt.
Aan de andere kant worden er op illegale markten veilingen gehouden vanwege fouten in het systeem van het bedrijf, zodat hoge prijzen worden geboden, soms zelfs hoger dan de hier vermelde beloningen. Dit soort activiteiten brengt echter een risico met zich mee, aangezien er geen garanties zijn voor privacy en betaling. Om nog maar te zwijgen van het feit dat deze onderzoekers niet de mogelijkheid hebben om hun werk op conferenties te presenteren.
Sean Wright, onderzoeker op het gebied van applicatiebeveiliging, heeft enkele kanttekeningen:
'Als je het geld wilt, verkoop je het aan Zerodium. Als u ethisch wilt handelen, laat u dit Google weten. Tenzij Google de door Zerodium betaalde bedragen evenaart, zal dit waarschijnlijk niet veranderen.”
Google geeft ook een beloning als er "bugs" in "fuzzers" worden gevonden. Dit is software die wordt gebruikt om parameters van verschillende toepassingen te testen. De functie is gebaseerd op het proces van het invoegen van ongeldige of willekeurige gegevens, zodat de doelsoftware kan instorten of geheugen kan lekken, zodat deze kan worden misbruikt door een aanvaller. Fuzzers komen veel voor op Google en degenen die bugs vinden, worden beloond.
Via Google is het mogelijk om een exploit chain te creëren en een Chromebook in gastmodus te compromitteren. Directe beloningen zijn over de hele linie beschikbaar.
Het Google Play Security Bounty-programma heeft het uitbetalingsbedrag voor onderzoekers verhoogd door samen te werken met HackerOne, een beveiligingsplatform voor hackers. Dit is een programma dat ook degenen beloont die kwetsbaarheden vinden, alleen dit keer in populaire apps. De waarde kan oplopen tot US$ 20.000.
Zie ook:
