Mint sokan tudjátok, A Chrome sebezhetőségi fejfájás programja mindenkinek megjutalmazza a böngésző biztonsági problémáinak közvetlen felfedezését és jelentését.
A Google nemrégiben jelentette be, a biztonsági blogjának egyik bejegyzésében, amely ma általában növekszik a mennyiség a „Chrome Vulnerability Rewards Program” -tól, a kiváló minőségű jelentésekért járó jutalom 30,000 150,000 dollárra emelkedett, és a Chrome OS-ben XNUMX XNUMX dollárral átértékelt kompromisszumok megtalálásáért járó bónusz.
A Google ezt mondja A hibabónuszok növekedésének fénypontjai közé tartozik a maximális jutalom megháromszorozása úgynevezett "alap" jelentésért, nagyon kevés részletességgel, 5,000 és 15,000 XNUMX dollár között.
Az úgynevezett "jó minőségű" jelentés maximális kifizetése, sok információval, amely megmagyarázza például, hogy a hackerek miként tudják kihasználni a hibát, mi az eredete vagy hogyan oldható meg. 15,000 30,000 dollártól XNUMX XNUMX dollárig - derül ki a Chrome Security blog cikkéből.
A nagyobb összeg továbbra is a Chrome OS biztonsági réseinek felfedezésének tudható be, A Google szoftverplatformja Chromebookhoz vagy Chromeboxhoz.
Ezen a szinten A Google emelte jutalmát 150,000 XNUMX dollárra azoknak a kutatóknak, akik olyan támadásokat fedeznek fel, amelyek veszélyeztethetik a Chromebookot vagy a Chromeboxot. A firmware-ben talált biztonsági hibák és / vagy amelyek lehetővé teszik a támadók számára a Chrome OS zárolási képernyőjének megkerülését, a blogbejegyzés szerint.
A Google 2010 óta hozta létre hibabónusz programját. A mai napig a Google több mint 8,500 hibajelentést kapott, és 5 millió dollárt fizetett a nyomozóknak. Az első változtatást a díjbázisban 2014 szeptemberében, négy évvel a program elindítása után hajtották végre.
Abban az időben a Google Chrome hibaprogramja több mint 1.25 millió dollárt fizetett azoknak a biztonsági kutatóknak, akik több mint 700 hibát találtak böngészőjükben, de a Google úgy találta, hogy ez nem volt elég. Öt évvel később a jelentések száma 700-ról 8.500-ra nőtt, és a Google úgy döntött, hogy megháromszorozza a díjakat.
A fent említett emelések mellett a GoAz ogle növelte a fuzz tesztelés előnyeit is (vagy véletlenszerű teszt), a szoftverek tesztelésének technikája, amelyet a hibajavadászok véletlenszerű adatok bedobására is felhasználnak.
Szoftvertermék a problémás bejegyzések felkutatására. A blogbejegyzés szerint "a Chrome Fuzzer programot futtató fuzzerek által talált hibákért járó extra bónusz szintén megduplázódott, 1,000 dollárra."
Az emelés a Google Play biztonsági jutalmazási program által a kutatóknak kifizetett összegeket is érintette.
Valójában a távoli kódfuttatási hibák jutalma 5,000 dollárról 20,000 1,000 dollárra, a nem védett magán adatok ellopása 3,000 dollárról 1,000 dollárra, a védett alkalmazáskomponensekhez való hozzáférés pedig 3,000 dollárról XNUMX dollárra nőtt.
Ezen túlmenően, ha a felelősségteljes módon feltárja a biztonsági réseket a résztvevő alkalmazásfejlesztőknek, akkor a Google szerint bónuszt kap.
Az alábbiakban az új kibővített lista és a régi hibabónusz táblázat található. Az elfogadható biztonsági hibák jutalma általában 500 és 150,000 XNUMX dollár között mozog.
Ennek a mozgalomnak az a célja, hogy a jelentések először a kezükbe kerüljenek, mivel nemcsak a technológiai cégek jutalmazzák a hibajavadászokat, hanem a kormányok és a bűnözők is fizetnek a sérülékenységekért, amelyeket felhasználhatnak olyan tevékenységekben, mint a kémkedés és a személyazonosság-lopás.
A blogbejegyzésben A Google azt is tisztázta, hogy mit tart jó minőségű jelentésnek, és a kutatók megkönnyítése érdekében frissítette a hibakategóriákat.
"Pontosítottuk azt is, amit magas színvonalú beszámolónak tartunk, hogy segítsünk az újságíróknak a lehető legmagasabb jutalom elérésében, és frissítettük a hibakategóriákat, hogy jobban tükrözzék a jelentett és a minket jobban érdeklő hibák típusait" mondta. a társaság.
A Google szerint ez a Chrome hibajavadászok növekedése a blogbejegyzésük után benyújtott beadványokra vonatkozik. A növekedésről itt talál további részleteket.
forrás: https://security.googleblog.com/
Hogyan jelenthetem a hibát?