Kao što će mnogi od vas znati, Chromeov program nagrađivanja za ranjivost nagrađuje sve za direktno otkrivanje i prijavljivanje sigurnosnih problema u pregledaču.
Google je nedavno objavio, u postu na njegovom sigurnosnom blogu, koja se sada uglavnom povećava iz "Chrome Vulnerability Rewards Program", s nagradom za visokokvalitetne izvještaje poraslom na 30,000 150,000 USD i bonusom za pronalaženje kompromisa u Chrome OS-u preispitanim za XNUMX XNUMX USD.
Google to kaže Izdvajamo iz povećanja bonusa za greške uključuju utrostručenje maksimalne nagrade za takozvani "osnovni" izvještaj s vrlo malo detalja od 5,000 do 15,000 američkih dolara.
Udvostručena je i maksimalna isplata za takozvani "visokokvalitetni" izvještaj, s mnoštvom informacija koje objašnjavaju, na primjer, kako hakeri mogu iskoristiti grešku, koje joj je porijeklo ili kako se može riješiti. Prema članku na blogu Chrome Security, od 15,000 do 30,000 dolara.
Najveći iznos još uvijek dolazi zbog otkrivanja ranjivosti u Chrome OS-u, Googleova softverska platforma za Chromebook ili Chromebox.
Na ovom nivou, Google je također povećao nagradu na 150,000 američkih dolara za istraživače koji će otkriti napade koji mogu ugroziti Chromebook ili Chromebox. Sigurnosne greške pronađene u firmveru i / ili koje omogućavaju napadačima da zaobiđu zaključani zaslon Chrome OS-a također se isplaćuju, navodi se u postu na blogu.
Google je stvorio svoj program za uklanjanje grešaka od 2010. godine. Do danas je Google primio više od 8,500 prijava grešaka i istražiteljima platio 5 miliona dolara. Prva promjena baze nagrada izvršena je u septembru 2014. godine, četiri godine nakon pokretanja programa.
U to je vrijeme Googleov program za bube Chrome platio više od 1.25 miliona dolara istraživačima sigurnosti koji su u svom pregledaču pronašli više od 700 grešaka, ali Google je utvrdio da to nije dovoljno. Pet godina kasnije, broj izvještaja povećao se sa 700 na 8.500 i Google je odlučio utrostručiti nagrade.
Uz gore navedena povećanja, idite i na Google je takođe povećao nagrade za testiranje fuzz-a (ili slučajni test), tehnika za testiranje softvera koju lovci na greške takođe koriste za bacanje slučajnih podataka na ulaze.
Softverski proizvod u svrhu pronalaženja problematičnih unosa. Prema objavi na blogu, "Dodatni bonus za greške koje su pronašli puhači koji pokreću program Chrome Fuzzer takođe se udvostručio na 1,000 dolara."
Povećanje je utjecalo i na iznose koje je istraživačima isplatio program sigurnosnih nagrada Google Play.
Zapravo, nagrade za pogreške u izvršenju daljinskog koda porasle su sa 5,000 na 20,000, krađe privatnih nesigurnih podataka sa 1,000 na 3,000, a pristup zaštićenim komponentama aplikacija sa 1,000 na 3,000 dolara.
Uz to, ako otkrivate ranjivosti programerima koji sudjeluju u programu na "odgovoran" način, dobit ćete bonus, navodi Google.
Ispod je nova proširena lista i stara tabela bonusa za greške. Prihvatljive nagrade za sigurnosne greške obično se kreću od 500 do 150,000 XNUMX američkih dolara.
Čini se da ovaj pokret namjerava da izvještaji prvo dođu do njihovih ruku, jer ne samo da tehnološke kompanije nagrađuju lovce na greške, već vlade i kriminalci plaćaju i ranjivosti koje mogu koristiti u aktivnostima poput špijunaže i krađe identiteta.
U blogu, Google je također pojasnio ono što smatra visokokvalitetnim izvještajem i ažurirao kategorije grešaka kako bi olakšao istraživačima.
"Također smo pojasnili ono što smatramo visokokvalitetnim izvještajem, kako bi pomogli novinarima da dobiju najveću moguću nagradu, a ažurirali smo i kategorije pogrešaka kako bi bolje odražavale vrste grešaka koje se prijavljuju i što nas više zanima", rekao je rekla je kompanija.
Google kaže da će se ovo povećanje za Chrome lovce na greške primijeniti na prijave poslane nakon njihovog bloga. Više detalja o povećanju možete pronaći ovdje.
Izvor: https://security.googleblog.com/
Kako mogu prijaviti grešku?