Jak mnozí z vás budou vědět, Program odměn za zranitelnost v prohlížeči Chrome odměňuje každého za přímé objevování a hlášení bezpečnostních problémů prohlížeče.
Google nedávno oznámil, v příspěvku na svém blogu o zabezpečení, což nyní obecně zvyšuje množství z „programu odměn za zranitelnost Chrome“, přičemž odměna za vysoce kvalitní zprávy se zvýšila na 30,000 150,000 $ a bonus za hledání kompromisů v systému Chrome OS byl přehodnocen o XNUMX XNUMX $.
Google to říká Mezi hlavní výhody nárůstu bonusů za chyby patří ztrojnásobení maximální odměny pro takzvaný „základní“ přehled s velmi malými podrobnostmi od 5,000 15,000 do XNUMX XNUMX $.
Zdvojnásobí se také maximální výplata za takzvanou „vysoce kvalitní“ zprávu s množstvím informací, které vysvětlují například to, jak mohou hackeři chybu využít, jaký je její původ nebo jak ji lze vyřešit. Od 15,000 30,000 do XNUMX XNUMX $, podle článku blogu Chrome Security.
Větší částka je stále způsobena objevením chyb zabezpečení v systému Chrome OS, Softwarová platforma Google pro Chromebook nebo Chromebox.
Na této úrovni Google také zvýšil svoji odměnu na 150,000 XNUMX $ pro výzkumné pracovníky, kteří budou objevovat útoky, které mohou kompromitovat Chromebook nebo Chromebox. Bezpečnostní chyby nalezené ve firmwaru a / nebo umožňující útočníkům obejít zamykací obrazovku systému Chrome OS se podle příspěvku na blogu také vyplácejí.
Google vytvořil svůj bug bonus program od roku 2010. K dnešnímu dni společnost Google obdržela více než 8,500 5 hlášení chyb a vyplatila vyšetřovatelům 2014 milionů dolarů. První změna v základně udělování cen byla provedena v září XNUMX, čtyři roky po zahájení programu.
V té době vyplatil program chyb Google Chrome více než 1.25 milionu dolarů výzkumníkům v oblasti bezpečnosti, kteří ve svém prohlížeči našli více než 700 chyb, ale Google zjistil, že to nestačí. O pět let později se počet zpráv zvýšil ze 700 na 8.500 XNUMX a Google se rozhodl ceny ztrojnásobit.
Kromě výše zmíněných zvýšení, Google také zvýšil odměny za testování fuzz (nebo náhodný test), technika testování softwaru, kterou lovci chyb také používají k házení náhodných dat na vstupy.
Softwarový produkt za účelem vyhledání problémových položek. Podle příspěvku na blogu „Extra bonus za chyby nalezené fuzzery spuštěnými programem Chrome Fuzzer se také zdvojnásobil na 1,000 XNUMX $.“
Nárůst také ovlivnil částky vyplácené výzkumným pracovníkům programem odměn za zabezpečení Google Play.
Ve skutečnosti se odměny za chyby při provádění vzdáleného kódu zvýšily z 5,000 20,000 na 1,000 3,000 USD, krádež soukromých nezajištěných dat z 1,000 3,000 na XNUMX XNUMX USD a přístup k chráněným komponentám aplikací z XNUMX XNUMX na XNUMX XNUMX USD.
Pokud navíc odhalíte zranitelná místa účastnícím se vývojářům aplikací „odpovědným“ způsobem, získáte podle Google bonus.
Níže je nový rozšířený seznam a stará tabulka bonusů za chyby. Odměny za způsobilé bezpečnostní chyby se obvykle pohybují od 500 do 150,000 XNUMX USD.
A toto hnutí si klade za cíl, aby se zprávy dostaly do jejich rukou jako první, protože nejen technologické společnosti odměňují lovce chyb, ale vlády a zločinci také platí za zranitelnosti, které mohou využít při aktivitách, jako je špionáž. A krádeže identity.
V příspěvku na blogu Google také vyjasnil, co považuje za vysoce kvalitní zprávu, a aktualizoval kategorie chyb, aby to výzkumníkům usnadnil.
„Rovněž jsme objasnili, co považujeme za vysoce kvalitní zprávu, abychom pomohli novinářům získat nejvyšší možnou odměnu, a aktualizovali jsme kategorie chyb, aby lépe odrážely typy chyb, které jsou hlášeny a které nás více zajímají,“ říká řekla. společnost.
Google říká, že toto zvýšení pro lovce chyb v prohlížeči Chrome se bude vztahovat na podání odeslaná po jejich příspěvku na blogu. Více podrobností o zvýšení naleznete zde.
zdroj: https://security.googleblog.com/
Jak nahlásím chybu?