Όπως πολλοί από εσάς θα γνωρίζετε, Το πρόγραμμα επιβράβευσης ευπάθειας του Chrome ανταμείβει όλους για την ανακάλυψη και την άμεση αναφορά ζητημάτων ασφαλείας του προγράμματος περιήγησης.
Η Google ανακοίνωσε πρόσφατα, σε μια ανάρτηση στο ιστολόγιο ασφαλείας του, που τώρα γενικά αυξάνει τα ποσά από το "Chrome Vulnerability Bounty Program", με την ανταμοιβή για αναφορές υψηλής ποιότητας να αυξάνονται στα 30,000 $ και ένα μπόνους για την εύρεση συμβιβασμών στο Chrome OS να επαναξιολογείται στα 150,000 $.
Η Google το λέει αυτό Τα κυριότερα σημεία της αύξησης στα μπόνους σφαλμάτων περιλαμβάνουν τον τριπλασιασμό του μέγιστου μπόνους για μια αναφορά που ονομάζεται "βασική" με πολύ λίγες λεπτομέρειες από 5,000 $ έως 15,000 $.
Η μέγιστη ανταμοιβή για μια λεγόμενη αναφορά "υψηλής ποιότητας", με πλήθος πληροφοριών που εξηγούν, για παράδειγμα, πώς οι χάκερ μπορούν να εκμεταλλευτούν το σφάλμα, ποια είναι η πηγή του ή πώς μπορεί να επιλυθεί, διπλασιάζεται επίσης. Από 15,000 $ έως 30,000 $, σύμφωνα με το άρθρο του ιστολογίου Chrome Security.
Ο μεγαλύτερος αριθμός εξακολουθεί να οφείλεται στην ανακάλυψη τρωτών σημείων στο Chrome OS, Η πλατφόρμα λογισμικού της Google για Chromebook ή Chromebox.
Σε αυτό το επίπεδο, Η Google αύξησε επίσης την ανταμοιβή της στα 150,000 δολάρια για ερευνητές που θα ανακαλύψουν επιθέσεις που μπορούν να θέσουν σε κίνδυνο ένα Chromebook ή το Chromebox. Σφάλματα ασφαλείας που εντοπίστηκαν στο υλικολογισμικό ή/και που επιτρέπουν στους εισβολείς να παρακάμψουν την οθόνη κλειδώματος του Chrome OS δημιουργούν επίσης κτερίσματα, σύμφωνα με την ανάρτηση ιστολογίου.
Η Google έχει δημιουργήσει το πρόγραμμα μπόνους σφαλμάτων από το 2010. Μέχρι σήμερα, η Google έχει λάβει περισσότερες από 8,500 αναφορές σφαλμάτων και έχει πληρώσει 5 εκατομμύρια δολάρια σε ερευνητές. Η πρώτη αλλαγή στη βάση των βραβείων έγινε τον Σεπτέμβριο του 2014, τέσσερα χρόνια μετά την έναρξη του προγράμματος.
Και εκείνη την εποχή, το πρόγραμμα σφαλμάτων Chrome της Google πλήρωσε περισσότερα από 1.25 εκατομμύρια δολάρια σε ερευνητές ασφαλείας που βρήκαν περισσότερα από 700 σφάλματα στο πρόγραμμα περιήγησής της, αλλά η Google διαπίστωσε ότι δεν ήταν αρκετά. Πέντε χρόνια αργότερα, ο αριθμός των αναφορών αυξήθηκε από 700 σε 8.500 και η Google αποφάσισε να τριπλασιάσει τα βραβεία.
Εκτός από τις αυξήσεις που αναφέρθηκαν παραπάνω, το GoΤο ogle έχει επίσης αυξήσει τις ανταμοιβές για δοκιμές fuzz (ή τυχαία δοκιμή), μια τεχνική για τη δοκιμή λογισμικού που χρησιμοποιείται επίσης από κυνηγούς σφαλμάτων για τη ρίψη τυχαίων δεδομένων σε εισόδους.
Ένα προϊόν λογισμικού για τον εντοπισμό προβληματικών εγγραφών. Σύμφωνα με την ανάρτηση ιστολογίου, "Το επιπλέον μπόνους για σφάλματα που εντοπίστηκαν από fuzzers που εκτελούν το πρόγραμμα Chrome Fuzzer έχει επίσης διπλασιαστεί στα 1,000 $."
Η αύξηση επηρέασε επίσης τα ποσά που καταβλήθηκαν στους ερευνητές από το πρόγραμμα επιβράβευσης ασφάλειας του Google Play.
Στην πραγματικότητα, τα επιδόματα σφαλμάτων απομακρυσμένης εκτέλεσης κώδικα αυξήθηκαν από 5,000 $ σε 20,000 $, η κλοπή μη ασφαλών προσωπικών δεδομένων από 1,000 $ σε 3,000 $ και η πρόσβαση σε προστατευμένα στοιχεία εφαρμογής από $ 1,000 σε $ 3,000.
Επίσης, εάν αποκαλύψετε ευπάθειες στους συμμετέχοντες προγραμματιστές εφαρμογών με «υπεύθυνο» τρόπο, θα λάβετε ένα μπόνους, σύμφωνα με την Google.
Παρακάτω είναι η νέα αυξημένη λίστα και ο παλιός πίνακας μπόνους σφαλμάτων. Τα bounties για τα κατάλληλα σφάλματα ασφαλείας κυμαίνονται συνήθως από $500 έως $150,000.
Και είναι ότι αυτό το κίνημα θέλει οι αναφορές να φτάσουν πρώτα στα χέρια τους, αφού όχι μόνο οι εταιρείες τεχνολογίας ανταμείβουν τους κυνηγούς σφαλμάτων, αλλά οι κυβερνήσεις και οι εγκληματίες πληρώνουν επίσης για ευπάθειες, τις οποίες μπορούν να χρησιμοποιήσουν σε δραστηριότητες όπως η κατασκοπεία και η κλοπή ταυτότητας.
Στην ανάρτηση του ιστολογίου, Η Google έχει επίσης διευκρινίσει τι θεωρεί αναφορά υψηλής ποιότητας και έχει ενημερώσει τις κατηγορίες σφαλμάτων για να διευκολύνει τους ερευνητές.
«Επίσης, διευκρινίσαμε τι θεωρούμε αναφορά υψηλής ποιότητας, για να βοηθήσουμε τους δημοσιογράφους να λάβουν τις περισσότερες δυνατές ανταμοιβές και ενημερώσαμε τις κατηγορίες σφαλμάτων για να αντικατοπτρίζουν καλύτερα τους τύπους σφαλμάτων που αναφέρονται και μας ενδιαφέρουν περισσότερο», είπε η εταιρεία.
Η Google λέει ότι αυτή η αύξηση για τους κυνηγούς σφαλμάτων του Chrome θα ισχύει για υποβολές που υποβάλλονται μετά την ανάρτηση του ιστολογίου σας. Περισσότερες λεπτομέρειες για την αύξηση μπορείτε να βρείτε εδώ.
πηγή: https://security.googleblog.com/
Πώς μπορώ να αναφέρω ένα σφάλμα;