Seperti yang akan Anda ketahui, Program hadiah kerentanan Chrome memberi penghargaan kepada semua orang karena langsung menemukan dan melaporkan masalah keamanan browser.
Google baru-baru ini mengumumkan, dalam postingan di blog keamanannya, yang sekarang jumlahnya meningkat secara umum dari "Program Imbalan Kerentanan Chrome", dengan imbalan untuk laporan berkualitas tinggi ditingkatkan menjadi $ 30,000 dan bonus untuk menemukan penyusupan di Chrome OS dinilai kembali sebesar $ 150,000.
Google mengatakan itu Sorotan dari peningkatan bonus bug termasuk tiga kali lipat hadiah maksimum untuk apa yang disebut laporan "dasar" dengan sedikit rincian dari $ 5,000 hingga $ 15,000.
Hasil maksimum untuk apa yang disebut laporan "berkualitas tinggi", dengan banyak informasi yang menjelaskan, misalnya, bagaimana peretas dapat mengeksploitasi bug, dari mana asalnya, atau bagaimana cara mengatasinya, juga berlipat ganda. Dari $ 15,000 hingga $ 30,000, menurut artikel blog Keamanan Chrome.
Jumlah yang lebih besar masih karena ditemukannya kerentanan di Chrome OS, Platform perangkat lunak Google untuk Chromebook atau Chromebox.
Di level ini, Google juga telah meningkatkan hadiahnya menjadi $ 150,000 bagi peneliti yang akan menemukan serangan yang dapat membahayakan Chromebook atau Chromebox. Bug keamanan yang ditemukan di firmware dan / atau yang memungkinkan penyerang melewati layar kunci Chrome OS juga terbayar, menurut posting blog.
Google telah membuat program bonus bug sejak 2010. Sampai saat ini, Google telah menerima lebih dari 8,500 laporan bug dan penyelidik membayar $ 5 juta. Perubahan pertama pada basis penghargaan dilakukan pada September 2014, empat tahun setelah peluncuran program.
Dan pada saat itu, program bug Google Chrome membayar lebih dari $ 1.25 juta kepada peneliti keamanan yang menemukan lebih dari 700 bug di browser mereka, tetapi Google menemukan bahwa ini tidak cukup. Lima tahun kemudian, jumlah laporan meningkat dari 700 menjadi 8.500 dan Google memutuskan untuk melipatgandakan penghargaan.
Selain peningkatan yang disebutkan di atas, Google juga meningkatkan hadiah untuk pengujian fuzz (atau uji acak), teknik untuk menguji perangkat lunak yang juga digunakan pemburu bug untuk membuang data acak ke masukan.
Produk perangkat lunak untuk tujuan menemukan entri yang bermasalah. Menurut posting blog, "Bonus tambahan untuk bug yang ditemukan oleh fuzzers yang menjalankan program Chrome Fuzzer juga meningkat dua kali lipat menjadi $ 1,000."
Kenaikan ini juga memengaruhi jumlah yang dibayarkan kepada peneliti oleh program penghargaan keamanan Google Play.
Faktanya, imbalan untuk kesalahan eksekusi kode jarak jauh meningkat dari $ 5,000 menjadi $ 20,000, pencurian data pribadi tanpa jaminan dari $ 1,000 menjadi $ 3,000, dan akses ke komponen aplikasi yang dilindungi dari $ 1,000 menjadi $ 3,000.
Selain itu, jika Anda mengungkapkan kerentanan kepada pengembang aplikasi yang berpartisipasi secara "bertanggung jawab", Anda akan menerima bonus, menurut Google.
Di bawah ini adalah daftar augmented baru dan tabel bonus bug lama. Hadiah untuk bug keamanan yang memenuhi syarat biasanya berkisar dari $ 500 hingga $ 150,000.
Dan gerakan ini bermaksud agar laporan tersebut sampai ke tangan mereka terlebih dahulu, karena tidak hanya perusahaan teknologi yang memberi penghargaan kepada pemburu bug, tetapi pemerintah dan penjahat juga membayar untuk kerentanan, yang dapat mereka gunakan dalam aktivitas seperti spionase dan pencurian identitas.
Di postingan blog, Google juga telah mengklarifikasi apa yang dianggap sebagai laporan berkualitas tinggi dan memperbarui kategori kesalahan untuk memudahkan peneliti.
"Kami juga telah mengklarifikasi apa yang kami anggap sebagai laporan berkualitas tinggi, untuk membantu jurnalis mendapatkan penghargaan setinggi mungkin, dan kami telah memperbarui kategori kesalahan agar lebih mencerminkan jenis kesalahan yang dilaporkan dan yang lebih menarik bagi kami," dia kata perusahaan.
Google mengatakan peningkatan untuk pemburu bug Chrome ini akan berlaku untuk pengiriman yang dikirimkan setelah posting blog mereka. Anda dapat menemukan detail lebih lanjut tentang peningkatan tersebut di sini.
sumber: https://security.googleblog.com/
Bagaimana cara melaporkan bug?