З 2010 року Google платить людям за пошук недоліків безпеки в коді найбільшої цифрової платформи.
Оскільки ця система діє, компанія заплатила понад 5 мільйонів доларів тим, хто знайшов час для цього.
побачити більше
Toyota анонсує нову Corolla в Бразилії за НЕЙМОВІРНОЮ ціною; подивіться
ЧУДОВО: Вчені знайшли живого «доісторичного» пінгвіна в Новому...
Нещодавно пошуковий гігант оголосив про збільшення винагороди з виплатою максимум 150 000 доларів США та інші виплати, що подвоюються або потроюються.
Наразі повідомлено про 8500 звітів та виплат, викликано винагороди за помилки. Виплати за ці ризики становлять понад 5 мільйонів доларів США.
Програма винагороди за вразливість Chrome пропонує подвоєння винагороди за «звіти про якість» (від 15 до 30 тисяч доларів США). Сума збільшується втричі, коли у вас є базовий звіт.
Звіт про якість повинен містити згорнутий тестовий приклад, а також аналіз, який відіграє роль визначити причину збою, запропонований патч для виправлення та демонстрацію, щоб вказати на потенційну помилку статися.
У випадках базового звітування потрібен мінімізований тест, щоб проблему можна було використовувати.
Лорі Мерсер, інженер із безпеки в HackerOne, повідомляє про платежі Google, кажучи, що вони дуже непогані.
«Винагорода для учасників, які можуть скомпрометувати Chromebook або Chromebox, є однією з найвищих на сьогодні на ринку», — сказав він.
Він додав, що подання відповідної помилки на цю нагороду «гарантує місце в престижному Залі слави Google».
Однак, якщо порівнювати з нульовий, компанії цифрової безпеки, відомої як найкращий платник для дослідників, які виявляють недоліки раніше самих компаній, Google залишає бажати кращого. Компанія зазвичай виплачує винагороду в розмірі 500 000 доларів США, якщо, наприклад, пропонує віддалене виконання коду та локальне підвищення привілеїв щодо Chrome.
З іншого боку, на нелегальних ринках аукціони проводяться через недоліки в системі компанії, тому пропонуються високі ціни, іноді навіть вищі за винагороди, про які тут повідомляється. Однак цей вид діяльності пов'язаний з ризиком, оскільки немає гарантій конфіденційності та оплати. Не кажучи вже про те, що ці дослідники не мають можливості презентувати свої роботи на конференціях.
Дослідник безпеки програм Шон Райт має деякі застереження щодо цього питання:
«Якщо ви хочете отримати гроші, ви продасте Zerodium. Якщо ви хочете дотримуватися етики, повідомте про це Google. Це навряд чи зміниться, якщо Google не зрівняє суми, сплачені Zerodium».
Google також дає винагороду за виявлення «помилок» у «фазерах». Це програмне забезпечення, яке використовується для тестування параметрів різних програм. Його функція ґрунтується на процесі вставлення недійсних або випадкових даних для того, щоб цільове програмне забезпечення згорнулося або втратило пам’ять, щоб її міг використати зловмисник. Фазери — звичайне явище в Google, і ті, хто знаходить помилки, отримують винагороду.
За допомогою Google можна створити ланцюжок експлойтів і скомпрометувати Chromebook у гостьовому режимі. Миттєві винагороди доступні по всіх напрямках.
Програма бонусів Google Play Security Bounty збільшила суму виплат для дослідників завдяки партнерству з HackerOne, платформою безпеки хакерів. Ця програма також винагороджує тих, хто знаходить уразливості, але цього разу в популярних програмах. Сума може досягати 20 000 доларів США.
Дивіться також:
