2010 yılından bu yana, Google insanlara en büyük dijital platformun kodundaki güvenlik açıklarını bulmaları için para ödüyor.
Bu sistem gerçekleştiği için şirket, 5 milyon doların üzerinde bu amaç için zaman ayıranlara.
daha fazla gör
NIS 7'nin sona ermesiyle yararlanıcılar bu yıl Bolsa Família'yı alıyor…
FGTS karı çoktan kararlaştırıldı ve işçilere dağıtılacak…
Son zamanlarda, arama devi, bir ödeme ile ödüllerdeki artışı duyurdu maksimum 150.000 $ ve boyut olarak ikiye veya üçe katlanan diğer ödemeler.
Şimdiye kadar 8.500 rapor ve ödeme bildirildi. böcek ödülleri. Bu riskler için yapılan ödemelerin toplamı 5 milyon dolardan fazladır.
Chrome Güvenlik Açığı Ödül Programı, "kalite raporları" için (15 bin dolardan 30 bin dolara) ödül ikiye katlama sunar. Temel raporunuz olduğunda miktar üç katına çıkar.
Bir kalite raporu, küçültülmüş bir test durumunun yanı sıra şu rolü oynayan bir analize sahip olmalıdır: arızanın nedenini, önerilen bir düzeltme yamasını ve olası bir hatayı gösteren bir demoyu belirleme gerçekleşmesi için.
Temel raporlama durumlarında, sorunun istismar edilebilir olması için en aza indirilmiş bir test olması gerekir.
HackerOne'da güvenlik mühendisi olan Laurie Mercer, Google'ın ödemelerini çok iyi cebe indirdiklerini söylüyor.
"Bir Chromebook veya Chromebox'tan ödün verebilen katılımcılara verilen ödül, bugün piyasadaki en yüksek ödüllerden biridir" dedi.
Bu ödül için uygun bir hata göndermenin "prestijli Google Hall of Fame'de bir yeri garantileyeceğini" ekledi.
Ancak, karşılaştırıldığında sıfırdyumŞirketlerden önce kusurları keşfeden araştırmacılara en çok ödeme yapan olarak bilinen bir dijital güvenlik şirketi olan Google, arzulanan bir şey bırakıyor. Şirket, örneğin Chrome'a karşı uzaktan kod yürütme ve yerel ayrıcalık yükseltme sunduğu sürece genellikle 500.000 ABD Doları ödül ödüyor.
Öte yandan, yasadışı pazarlarda, şirketin sistemindeki kusurlar nedeniyle açık artırmalar yapılmakta ve bu nedenle yüksek fiyatlar, hatta bazen burada bildirilen ödüllerden daha yüksek fiyatlar sunulmaktadır. Ancak, gizlilik ve ödeme garantisi bulunmadığından, bu tür faaliyetler bir risk içerir. Bu araştırmacıların çalışmalarını konferanslarda sunma fırsatına sahip olmadıklarından bahsetmiyorum bile.
Uygulama güvenliği araştırmacısı Sean Wright'ın konuyla ilgili bazı uyarıları var:
"Parayı istiyorsan, Zerodium'a satarsın. Etik olmak istiyorsanız, Google'a haber vereceksiniz. Google, Zerodium tarafından ödenen meblağlarla eşleşmedikçe, bunun değişmesi pek olası değil."
Google, "fuzzers" içinde "bug" bulunduğunda da ödül verir. Bu, çeşitli uygulamaların parametrelerini test etmek için kullanılan bir yazılımdır. İşlevi, hedef yazılımın bir saldırgan tarafından istismar edilebilmesi için çökmesi veya bellek sızdırması için geçersiz veya rasgele veri ekleme işlemine dayanır. Fuzzers, Google'da yaygın olarak görülen bir durumdur ve hata bulanlar ödüllendirilir.
Google aracılığıyla, bir açıklardan yararlanma zinciri oluşturmak ve misafir modunda bir Chromebook'u ele geçirmek mümkündür. Anında ödüller her yerde mevcuttur.
Google Play Güvenlik Ödül Programı, bir bilgisayar korsanı güvenlik platformu olan HackerOne ile iş ortaklığı yaparak araştırmacılar için ödeme tutarını artırdı. Bu, yalnızca bu kez popüler uygulamalarda güvenlik açıkları bulanları ödüllendiren bir programdır. Değeri 20.000 ABD Dolarına kadar ulaşabilir.
Şuna da bakın: