С 2010 года Google платит людям за поиск уязвимостей в коде крупнейшей цифровой платформы.
Поскольку эта система имеет место, компания заплатила более 5 миллионов долларов тем, кто не торопился с этой целью.
узнать больше
Toyota анонсирует новую Corolla в Бразилии по НЕВЕРОЯТНОЙ цене; смотреть
УДИВИТЕЛЬНО: Ученые нашли «доисторического» пингвина живым в Нью-Йорке…
Недавно поисковый гигант объявил об увеличении вознаграждений, с выплатой максимум $150,000 и другие выплаты, удваивающие или утраивающие размер.
На данный момент было зарегистрировано 8500 отчетов и платежей, называемых вознаграждение за ошибку. Платежи за эти воздействия в сумме составляют более 5 миллионов долларов.
Программа Chrome Vulnerability Bounty предлагает удвоение вознаграждения за «отчеты о качестве» (от 15 000 до 30 000 долларов). Сумма увеличивается втрое, если у вас есть базовый отчет.
Отчет о качестве должен иметь минимизированный тест-кейс, а также анализ, играющий роль определить причину сбоя, предлагаемое исправление и демонстрацию, чтобы указать на потенциальную ошибку произойдет.
В базовых отчетных случаях необходимо провести минимизированный тест, чтобы проблему можно было использовать.
Лори Мерсер, инженер по безопасности в HackerOne, сообщает о платежах Google, говоря, что они очень хорошо прикарманены.
«Награда для участников, которые могут скомпрометировать Chromebook или Chromebox, — одна из самых высоких наград на рынке сегодня», — сказал он.
Он добавил, что отправка подходящей ошибки для этой награды «гарантирует место в престижном Зале славы Google».
Однако, если сравнивать с зеродий, компания цифровой безопасности, известная как лучший плательщик исследователям, которые обнаруживают недостатки раньше самих компаний, Google оставляет желать лучшего. Компания обычно выплачивает вознаграждение в размере 500 000 долларов, если, например, она предлагает удаленное выполнение кода и локальное повышение привилегий в отношении Chrome.
С другой стороны, на нелегальных рынках аукционы проводятся из-за недостатков в системе компании, поэтому предлагаются высокие цены, иногда даже выше, чем вознаграждения, указанные здесь. Однако этот вид деятельности связан с риском, так как нет никаких гарантий конфиденциальности и оплаты. Не говоря уже о том, что у этих исследователей нет возможности представлять свои работы на конференциях.
У исследователя безопасности приложений Шона Райта есть несколько предостережений по этому поводу:
«Если тебе нужны деньги, ты продашь их Зеродиуму. Если вы хотите быть этичным, сообщите об этом Google. Если Google не будет соответствовать суммам, выплаченным Zerodium, это вряд ли изменится».
Google также дает вознаграждение, когда находит «ошибки» в «фаззерах». Это программное обеспечение, используемое для проверки параметров различных приложений. Его функция основана на процессе вставки неверных или случайных данных для того, чтобы целевое программное обеспечение разрушилось или произошло утечка памяти, чтобы злоумышленник мог использовать его. Фаззеры — обычное явление в Google, и те, кто находит ошибки, получают вознаграждение.
Через Google можно создать цепочку эксплойтов и скомпрометировать Chromebook в гостевом режиме. Мгновенные награды доступны по всем направлениям.
Программа Google Play Security Bounty увеличила сумму выплат исследователям благодаря партнерству с HackerOne, платформой хакерской безопасности. Это программа, которая также вознаграждает тех, кто находит уязвимости, только на этот раз в популярных приложениях. Стоимость может достигать 20 000 долларов США.
Смотрите также: