Como muchos de ustedes sabrán, el programa de recompensas de vulnerabilidad de Chrome, premia a todas aquellas personas por descubrir y reportar directamente problemas de seguridad del navegador.
Google anunció recientemente, en una publicación de su blog de seguridad, que ahora está generalmente aumentando las cantidades del “Programa de recompensas de vulnerabilidad de Chrome”, con la recompensa por informes de alta calidad que ha aumentado a 30,000 dólares y una bonificación por encontrar compromisos en Chrome OS reevaluados en $ 150,000.
Google dice que los aspectos más destacados del aumento en las primas de errores incluyen triplicar la recompensa máxima para un informe llamado «básico» con muy poco detalle de $ 5,000 a $ 15,000.
La recompensa máxima para un informe llamado «alta calidad», con una multitud de información que explica, por ejemplo, cómo los hackers pueden explotar el error, cuál es su origen o cómo se puede resolver, también se duplica. De $ 15,000 a $ 30,000, según el artículo del blog Chrome Security.
La mayor cantidad aún se debe al descubrimiento de vulnerabilidades en Chrome OS, la plataforma de software de Google para Chromebook o Chromebox.
En este nivel, Google también ha aumentado su recompensa a $ 150,000 para los investigadores que descubrirán ataques que pueden comprometer un Chromebook o un Chromebox los errores de seguridad que se encuentran en el firmware y/o que permiten a los atacantes eludir la pantalla de bloqueo de Chrome OS también generan recompensas, de acuerdo con la publicación del blog.
Google ha creado su programa de bonificación de errores desde 2010. Hasta la fecha, Google ha recibido más de 8,500 informes de errores y ha pagado $ 5 millones a los investigadores. El primer cambio a la base de premios se realizó en septiembre de 2014, cuatro años después del lanzamiento del programa.
Y en ese momento, el programa de errores Chrome de Google pagó más de $ 1.25 millones a los investigadores de seguridad que encontraron más de 700 errores en su navegador, pero Google descubrió que no era así no suficiente. Cinco años después, el número de informes aumentó de 700 a 8.500 y Google decidió triplicar los premios.
Además de los aumentos mencionados anteriormente, Google también ha aumentado las recompensas por las pruebas fuzz (o prueba aleatoria), una técnica para probar software que también utilizan los cazadores de errores para lanzar datos aleatorios en las entradas.
Un producto de software con el fin de localizar entradas problemáticas. De acuerdo con la publicación del blog, «El bono extra para los errores encontrados por los fuzzers que ejecutan el programa Chrome Fuzzer también se ha duplicado a $ 1,000».
El aumento también afectó los montos pagados a los investigadores por el programa de recompensas de seguridad Google Play.
De hecho, las recompensas por errores de ejecución remota de código aumentaron de $ 5,000 a $ 20,000, el robo de datos privados no garantizados de $ 1,000 a $ 3,000 y el acceso a componentes de aplicaciones protegidos de $ 1,000 a $ 3,000.
Además, si revela las vulnerabilidades a los desarrolladores de aplicaciones participantes de manera «responsable», recibirá una bonificación, según Google.
A continuación se muestra la nueva lista aumentada y la antigua tabla de bonificaciones de errores. Las recompensas por errores de seguridad elegibles suelen oscilar entre $ 500 y $ 150,000.
Y es que este movimiento pretende que los informes lleguen a sus manos primero, ya que no solo las compañías de tecnología recompensan a los cazadores de errores, sino que los gobiernos y los delincuentes también pagan por las vulnerabilidades, que pueden usar en actividades como espionaje y robo de identidad.
En la publicación del blog, Google también ha aclarado lo que considera un informe de alta calidad y ha actualizado las categorías de errores para que sea más fácil para los investigadores.
«También hemos aclarado lo que consideramos un informe de alta calidad, para ayudar a los periodistas a obtener la mayor recompensa posible, y hemos actualizado las categorías de errores para reflejar mejor los tipos de errores que se informan y Eso nos interesa más «, dijo la empresa.
Google dice que este aumento para los cazadores de errores de Chrome se aplicará a las presentaciones presentadas después de la publicación de su blog. Puede encontrar más detalles sobre el aumento aquí .
Fuente: https://security.googleblog.com/
¿Como reporto un fallo?