Din 2010, Google plătește oamenii pentru a găsi defecte de securitate în codul celei mai mari platforme digitale.
De când are loc acest sistem, compania a plătit peste 5 milioane de dolari celor care şi-au luat timpul în acest scop.
Vezi mai mult
Toyota anunță noua Corolla în Brazilia cu un preț INCREDIBIL; uite
Uimitor: Oamenii de știință găsesc pinguin „preistoric” în viață în Noua...
Recent, gigantul căutărilor a anunțat creșterea recompenselor, cu o plată maxim 150.000 USD și alte plăți care se dublează sau se triplează.
Până acum, au fost raportate 8.500 de rapoarte și plăți, apelate recompense pentru bug-uri. Plățile pentru aceste expuneri se ridică la peste 5 milioane USD.
Programul Chrome Vulnerability Bounty oferă dublarea recompenselor pentru „rapoartele de calitate” (de la 15.000 USD la 30.000 USD). Suma este triplată atunci când aveți un raport de referință.
Un raport de calitate ar trebui să aibă un caz de testare minimizat, precum și o analiză care joacă rolul de determinați cauza eșecului, un patch de remediere sugerat și o demonstrație pentru a sublinia o potențială eroare a se intampla.
În cazurile de raportare de bază, trebuie să existe un test minimizat, astfel încât problema să fie exploatabilă.
Laurie Mercer, un inginer de securitate la HackerOne, raportează despre plățile Google, spunând că sunt foarte bine buzunate.
„Recompensa pentru participanții care pot compromite un Chromebook sau Chromebox este una dintre cele mai mari recompense de pe piață astăzi”, a spus el.
El a adăugat că trimiterea unui bug eligibil pentru această recompensă „ar garanta un loc în prestigioasa Google Hall of Fame”.
Cu toate acestea, în comparație cu zerodiu, o companie de securitate digitală, cunoscută drept cea mai bună plătitoare pentru cercetătorii care descoperă defecte înaintea companiilor înseși, Google lasă de dorit. De obicei, compania plătește o recompensă de 500.000 USD atâta timp cât oferă execuție de cod de la distanță și escaladare locală a privilegiilor împotriva Chrome, de exemplu.
Pe de altă parte, pe piețele ilegale se desfășoară licitații din cauza unor defecțiuni ale sistemului companiei, astfel încât se oferă prețuri mari, uneori chiar mai mari decât recompensele raportate aici. Cu toate acestea, acest tip de activitate implică un risc, deoarece nu există garanții de confidențialitate și plată. Ca să nu mai vorbim de faptul că acești cercetători nu au posibilitatea de a-și prezenta lucrările la conferințe.
Cercetătorul în securitatea aplicațiilor Sean Wright are câteva avertismente cu privire la acest subiect:
„Dacă vrei banii, vei vinde lui Zerodium. Dacă vrei să fii etic, vei anunța Google. Dacă Google nu egalează sumele plătite de Zerodium, este puțin probabil ca acest lucru să se schimbe.”
Google oferă, de asemenea, recompensă atunci când se găsesc „bugs” în „fuzzers”. Acesta este un software folosit pentru a testa parametrii diferitelor aplicații. Funcția sa se bazează pe procesul de inserare a datelor nevalide sau aleatorii pentru ca software-ul țintă să se prăbușească sau să scurgă memorie, astfel încât să poată fi exploatat de către un atacator. Fuzzers-urile sunt o apariție obișnuită pe Google, iar cei care găsesc erori sunt recompensați.
Prin Google, este posibil să creați un lanț de exploatare și să compromiteți un Chromebook în modul invitat. Recompensele instant sunt disponibile peste tot.
Programul de recompense de securitate Google Play a mărit suma plății pentru cercetători prin parteneriatul cu HackerOne, o platformă de securitate pentru hackeri. Acesta este un program care îi răsplătește și pe cei care găsesc vulnerabilități, doar că de data aceasta în aplicațiile populare. Valoarea poate ajunge până la 20.000 USD.
Vezi si:
