Siden 2010 har Google betaler folk for å finne sikkerhetsfeil i koden til den største digitale plattformen.
Siden dette systemet finner sted, har selskapet betalt over 5 millioner dollar til de som tok seg tid til dette formålet.
se mer
Mottakere med slutten av NIS 7 mottar Bolsa Família denne...
FGTS-overskudd er allerede bestemt og vil bli distribuert til arbeidere...
Nylig annonserte søkegiganten økningen i belønninger, med en betaling maksimum $150 000 og andre utbetalinger dobles eller tredobles i størrelse.
Så langt er det meldt inn 8500 meldinger og utbetalinger, ringt bug-premier. Betalinger for disse eksponeringene utgjør mer enn 5 millioner dollar.
Chrome Vulnerability Bounty Program tilbyr dusørdobling for "kvalitetsrapporter" (fra $15k til $30k). Beløpet tredobles når du har en basisrapport.
En kvalitetsrapport bør ha en minimert testcase, samt en analyse som spiller rollen som finne årsaken til feilen, en foreslått reparasjonsoppdatering og en demo for å peke ut en potensiell feil å skje.
I grunnrapporteringssaker må det være en minimert test slik at problemet kan utnyttes.
Laurie Mercer, en sikkerhetsingeniør hos HackerOne, rapporterer om Googles betalinger, og sier at de er veldig godt plassert i lommene.
"Belønningen for deltakere som kan kompromittere en Chromebook eller Chromebox er en av de høyeste belønningene på markedet i dag," sa han.
Han la til at å sende inn en kvalifisert feil for denne dusøren "ville garantere en plass i den prestisjetunge Google Hall of Fame".
Men sammenlignet med null, et digitalt sikkerhetsselskap, kjent som den beste betaleren til forskere som oppdager feil før selskapene selv, overlater Google noe å ønske. Selskapet betaler vanligvis en dusør på $500 000 så lenge det tilbyr ekstern kjøring av kode og lokal rettighetseskalering mot Chrome, for eksempel.
På den annen side, i ulovlige markeder, gjennomføres auksjoner på grunn av feil i selskapets system, slik at det tilbys høye priser, noen ganger til og med høyere enn belønningene som er rapportert her. Denne typen aktivitet innebærer imidlertid en risiko, siden det ikke er noen garantier for personvern og betaling. For ikke å snakke om at disse forskerne ikke har mulighet til å presentere arbeidet sitt på konferanser.
Applikasjonssikkerhetsforsker Sean Wright har noen forbehold om saken:
«Hvis du vil ha pengene, selger du til Zerodium. Hvis du vil være etisk, gir du beskjed til Google. Med mindre Google matcher summene betalt av Zerodium, vil dette neppe endre seg.»
Google gir også belønning når du finner "bugs" i "fuzzers". Dette er en programvare som brukes til å teste parametere for ulike applikasjoner. Funksjonen er basert på prosessen med å sette inn ugyldige eller tilfeldige data for at målprogramvaren skal kollapse eller lekke minne slik at den kan utnyttes av en angriper. Fuzzers er en vanlig forekomst på Google, og de som finner feil blir belønnet.
Gjennom Google er det mulig å opprette en utnyttelseskjede og kompromittere en Chromebook i gjestemodus. Umiddelbare belønninger er tilgjengelig over hele linja.
Google Play Security Bounty-programmet har økt utbetalingsbeløpet for forskere ved å samarbeide med HackerOne, en sikkerhetsplattform for hackere. Dette er et program som også belønner de som finner sårbarheter, bare denne gangen i populære apper. Verdien kan nå opp til USD 20 000.
Se også:
