Come molti di voi sapranno, Il programma di ricompensa per le vulnerabilità di Chrome premia tutti coloro che scoprono e segnalano direttamente i problemi di sicurezza del browser.
Google ha recentemente annunciato, in un post sul suo blog sulla sicurezza, che ora sta generalmente aumentando le quantità dal "Chrome Vulnerability Rewards Program", con la ricompensa per rapporti di alta qualità aumentata a $ 30,000 e un bonus per la ricerca di compromessi in Chrome OS rivalutato di $ 150,000.
Google lo dice I punti salienti dell'aumento dei bonus sui bug includono il triplo della ricompensa massima per un cosiddetto rapporto "di base" con pochi dettagli da $ 5,000 a $ 15,000.
Raddoppia anche il guadagno massimo per un cosiddetto report di 'alta qualità', con una moltitudine di informazioni che spiegano, ad esempio, come gli hacker possono sfruttare il bug, qual è la sua origine o come può essere risolto. Da $ 15,000 a $ 30,000, secondo l'articolo del blog di Chrome Security.
L'importo maggiore è ancora dovuto alla scoperta di vulnerabilità in Chrome OS, Piattaforma software di Google per Chromebook o Chromebox.
A questo livello, Google ha anche aumentato la sua ricompensa a $ 150,000 per i ricercatori che scopriranno attacchi che possono compromettere un Chromebook o un Chromebox. Anche i bug di sicurezza trovati nel firmware e / o che consentono agli aggressori di aggirare la schermata di blocco di Chrome OS ripagano, secondo il post del blog.
Google ha creato il suo programma bonus sui bug dal 2010. Ad oggi, Google ha ricevuto più di 8,500 segnalazioni di bug e ha pagato agli investigatori 5 milioni di dollari. La prima modifica alla base dei premi è stata apportata nel settembre 2014, quattro anni dopo il lancio del programma.
E all'epoca, il programma bug di Google Chrome ha pagato più di 1.25 milioni di dollari ai ricercatori di sicurezza che hanno trovato più di 700 bug nel loro browser, ma Google ha scoperto che non era abbastanza. Cinque anni dopo, il numero di segnalazioni è passato da 700 a 8.500 e Google ha deciso di triplicare i premi.
Oltre agli aumenti di cui sopra, Google ha anche aumentato le ricompense per i test fuzz (o test casuale), una tecnica per testare il software che i cacciatori di bug usano anche per lanciare dati casuali agli input.
Un prodotto software allo scopo di individuare voci problematiche. Secondo il post del blog, "Anche il bonus extra per i bug trovati dai fuzzer che eseguono il programma Chrome Fuzzer è raddoppiato a $ 1,000".
L'aumento ha interessato anche gli importi pagati ai ricercatori dal programma di premi per la sicurezza di Google Play.
In effetti, i premi per gli errori di esecuzione di codice in modalità remota sono aumentati da $ 5,000 a $ 20,000, il furto di dati privati non protetti da $ 1,000 a $ 3,000 e l'accesso a componenti di applicazioni protette da $ 1,000 a $ 3,000.
Inoltre, se divulgherai le vulnerabilità agli sviluppatori di applicazioni partecipanti in modo "responsabile", riceverai un bonus, secondo Google.
Di seguito è riportato il nuovo elenco aumentato e la vecchia tabella dei bonus dei bug. I premi per bug di sicurezza idonei in genere vanno da $ 500 a $ 150,000.
Ed è che questo movimento intende che le segnalazioni arrivino per prime, poiché non solo le aziende tecnologiche premiano i cacciatori di bug, ma anche i governi e i criminali pagano per le vulnerabilità, che possono utilizzare in attività come lo spionaggio e il furto di identità.
Nel post del blog, Google ha anche chiarito quello che considera un rapporto di alta qualità e aggiornato le categorie di errore per renderlo più facile per i ricercatori.
"Abbiamo anche chiarito quello che consideriamo un rapporto di alta qualità, per aiutare i giornalisti a ottenere la massima ricompensa possibile, e abbiamo aggiornato le categorie di errore per riflettere meglio i tipi di errori che vengono segnalati e che ci interessano di più", ha ha detto la compagnia.
Google afferma che questo aumento per i cacciatori di bug di Chrome verrà applicato agli invii inviati dopo il loro post sul blog. Puoi trovare maggiori dettagli sull'aumento qui.
fonte: https://security.googleblog.com/
Come si segnala un bug?