Comme beaucoup d'entre vous le savent, Le programme de primes de vulnérabilité de Chrome récompense tout le monde pour avoir découvert et signalé directement les problèmes de sécurité du navigateur.
Google a récemment annoncé, dans un article sur son blog sécurité, qui augmente maintenant généralement les quantités du «Chrome Vulnerability Rewards Program», avec la récompense pour les rapports de haute qualité augmentée à 30,000 150,000 $ et un bonus pour trouver des compromis dans Chrome OS réévalué de XNUMX XNUMX $.
Google dit que Les points forts de l'augmentation des bonus de bogues incluent le triplement de la récompense maximale pour un rapport dit «de base» avec très peu de détails de 5,000 15,000 $ à XNUMX XNUMX $.
Le gain maximum pour un rapport dit "de haute qualité", avec une multitude d'informations expliquant, par exemple, comment les pirates peuvent exploiter le bogue, quelle est sa source, ou comment il peut être résolu, est également doublé. De 15,000 30,000 $ à XNUMX XNUMX $, selon l'article du blog Chrome Security.
Le montant le plus élevé est toujours dû à la découverte de vulnérabilités dans Chrome OS, Plateforme logicielle de Google pour Chromebook ou Chromebox.
A ce niveau, Google a également augmenté sa récompense à 150,000 dollars pour les chercheurs qui découvriront des attaques pouvant compromettre un Chromebook ou une Chromebox. Les bogues de sécurité trouvés dans le micrologiciel et / ou qui permettent aux attaquants de contourner l'écran de verrouillage de Chrome OS sont également payants, selon le blog.
Google a créé son programme de bonus de bogues depuis 2010. À ce jour, Google a reçu plus de 8,500 5 rapports de bogues et payé 2014 millions de dollars aux enquêteurs. La première modification de la base d'attribution a été apportée en septembre XNUMX, quatre ans après le lancement du programme.
Et à ce moment-là, le programme de bogues Chrome de Google a payé plus de 1.25 million de dollars aux chercheurs en sécurité qui ont trouvé plus de 700 bogues dans leur navigateur, mais Google a constaté que cela ne suffisait pas. Cinq ans plus tard, le nombre de rapports est passé de 700 à 8.500 XNUMX et Google a décidé de tripler les récompenses.
En plus des augmentations mentionnées ci-dessus, Google a également augmenté les récompenses pour les tests fuzz (ou tests aléatoires), une technique pour tester des logiciels que les chasseurs de bogues utilisent également pour lancer des données aléatoires aux entrées.
Un produit logiciel dans le but de localiser les entrées problématiques. Selon le billet de blog, "Le bonus supplémentaire pour les bogues détectés par les fuzzers exécutant le programme Chrome Fuzzer a également doublé pour atteindre 1,000 XNUMX $."
L'augmentation a également affecté les sommes versées aux chercheurs par le programme de récompenses de sécurité Google Play.
En fait, les récompenses pour les erreurs d'exécution de code à distance sont passées de 5,000 20,000 $ à 1,000 3,000 $, le vol de données privées non sécurisées de 1,000 3,000 $ à XNUMX XNUMX $ et l'accès aux composants d'application protégés de XNUMX XNUMX $ à XNUMX XNUMX $.
De plus, si vous divulguez des vulnérabilités aux développeurs d'applications participants de manière «responsable», vous recevrez un bonus, selon Google.
Vous trouverez ci-dessous la nouvelle liste augmentée et l'ancien tableau des bonus de bogues. Les récompenses éligibles pour les bogues de sécurité vont généralement de 500 $ à 150,000 XNUMX $.
Et c'est que ce mouvement a l'intention que les rapports atteignent leurs mains en premier, car non seulement les entreprises de technologie récompensent les chasseurs de bogues, mais les gouvernements et les criminels paient également pour les vulnérabilités, qu'ils peuvent utiliser dans des activités telles que l'espionnage et le vol d'identité.
Dans le billet de blog, Google a également clarifié ce qu'il considère être un rapport de haute qualité et mis à jour les catégories d'erreur pour faciliter la tâche des chercheurs.
«También hemos aclarado lo que consideramos un informe de alta calidad, para ayudar a los periodistas a obtener la mayor recompensa posible, y hemos actualizado las categorías de errores para reflejar mejor los tipos de errores que se informan y Eso nos interesa más «, dijo l'entreprise.
Google indique que cette augmentation pour les chasseurs de bogues Chrome s'appliquera aux soumissions soumises après leur article de blog. Vous pouvez trouver plus de détails sur l'augmentation ici.
source: https://security.googleblog.com/
Comment signaler un bug?