Som mange af jer vil vide, Chromes sårbarhedsprogram belønner alle for direkte at opdage og rapportere browsersikkerhedsproblemer.
Google annoncerede for nylig, i et indlæg på hans sikkerhedsblog, hvilket nu generelt øger mængderne fra "Chrome Vulnerability Rewards Program", hvor belønningen for rapporter af høj kvalitet steg til $ 30,000 og en bonus for at finde kompromiser i Chrome OS revurderet med $ 150,000.
Google siger det Højdepunkter i stigningen i bugbonusser inkluderer tredobling af den maksimale belønning til en såkaldt "grundlæggende" rapport med meget få detaljer fra $ 5,000 til $ 15,000.
Den maksimale udbetaling for en såkaldt "højkvalitetsrapport" med et væld af oplysninger, der f.eks. Forklarer, hvordan hackere kan udnytte fejlen, hvad dens oprindelse er, eller hvordan den kan løses, fordobles også. Fra $ 15,000 til $ 30,000, ifølge Chrome Security-blogartiklen.
Det større beløb skyldes stadig opdagelsen af sårbarheder i Chrome OS, Googles softwareplatform til Chromebook eller Chromebox.
På dette niveau Google har også øget sin belønning til $ 150,000 for forskere, der vil opdage angreb, der kan kompromittere en Chromebook eller Chromebox. Sikkerhedsfejl, der findes i firmware og / eller som gør det muligt for angribere at omgå Chrome OS-låseskærmen, betaler sig også ifølge blogindlægget.
Google har oprettet sit bug-bonusprogram siden 2010. Til dato har Google modtaget mere end 8,500 fejlrapporter og betalt efterforskere 5 millioner dollars. Den første ændring af tildelingsbasen blev foretaget i september 2014, fire år efter lanceringen af programmet.
Og på det tidspunkt betalte Googles Chrome-bugprogram mere end $ 1.25 millioner til sikkerhedsforskere, der fandt mere end 700 fejl i deres browser, men Google fandt ud af, at dette ikke var nok. Fem år senere steg antallet af rapporter fra 700 til 8.500, og Google besluttede at tredoble priserne.
Ud over de ovennævnte stigninger, Google har også øget belønningen for fuzz-test (eller tilfældig test), en teknik til test af software, som bugjægere også bruger til at smide tilfældige data i input.
Et softwareprodukt med det formål at lokalisere problemindgange. Ifølge blogindlægget er "Den ekstra bonus for bugs fundet af fuzzere, der kører Chrome Fuzzer-programmet, også fordoblet til $ 1,000."
Stigningen påvirkede også de beløb, der blev betalt til forskere fra Google Play-sikkerhedsbelønningsprogrammet.
Faktisk steg belønningen for ekstern kodeudførelsesfejl fra $ 5,000 til $ 20,000, tyveri af private usikrede data fra $ 1,000 til $ 3,000 og adgang til beskyttede applikationskomponenter fra $ 1,000 til $ 3,000.
Derudover, hvis du afslører sårbarheder for deltagende applikationsudviklere på en "ansvarlig" måde, vil du modtage en bonus ifølge Google.
Nedenfor er den nye udvidede liste og den gamle bug-bonustabel. Kvalificerede sikkerhedsfejlbelønninger varierer typisk fra $ 500 til $ 150,000.
Og det er, at denne bevægelse har til hensigt, at rapporterne når deres hænder først, da ikke kun teknologivirksomheder belønner bugjægere, men regeringer og kriminelle betaler også for sårbarheder, som de kan bruge i aktiviteter som spionage og identitetstyveri.
I blogindlægget, Google har også afklaret, hvad de anser for en rapport af høj kvalitet og opdateret fejlkategorierne for at gøre det lettere for forskere.
"Vi har også afklaret, hvad vi anser for at være en rapport af høj kvalitet, for at hjælpe journalister med at få den højest mulige belønning, og vi har opdateret fejlkategorierne for bedre at afspejle de typer fejl, der rapporteres, og som interesserer os mere," sagde han. sagde virksomheden.
Google siger, at denne stigning for Chrome bug hunters vil gælde for indsendelser, der indsendes efter deres blogindlæg. Du kan finde flere detaljer om stigningen her.
kilde: https://security.googleblog.com/
Hvordan rapporterer jeg en fejl?