Zoals velen van jullie zullen weten, Het bounty-programma voor kwetsbaarheden van Chrome beloont iedereen voor het direct ontdekken en rapporteren van browserbeveiligingsproblemen.
Google heeft onlangs aangekondigd, in een bericht op zijn beveiligingsblog, dat is nu over het algemeen toenemende hoeveelheden van het "Chrome Vulnerability Rewards Program", waarbij de beloning voor hoogwaardige rapporten werd verhoogd tot $ 30,000 en een bonus voor het vinden van compromissen in Chrome OS, opnieuw beoordeeld met $ 150,000.
Google zegt dat Hoogtepunten van de toename van bugbonussen zijn onder meer het verdrievoudigen van de maximale beloning voor een zogenaamd "basisrapport" met zeer weinig details van $ 5,000 tot $ 15,000.
De maximale beloning voor een zogenaamd "hoogwaardig" rapport, met een veelheid aan informatie die bijvoorbeeld uitlegt hoe hackers de bug kunnen uitbuiten, wat de oorsprong is of hoe deze kan worden opgelost, wordt ook verdubbeld. Van $ 15,000 tot $ 30,000, volgens het Chrome Security-blogartikel.
Het grootste bedrag is nog steeds te wijten aan de ontdekking van kwetsbaarheden in Chrome OS, Google's softwareplatform voor Chromebook of Chromebox.
Op dit niveau Google heeft ook zijn beloning verhoogd tot $ 150,000 voor onderzoekers die aanvallen zullen ontdekken die een Chromebook of Chromebox kunnen beschadigen. Beveiligingsbugs die in de firmware worden aangetroffen en / of waardoor aanvallers het Chrome OS-vergrendelingsscherm kunnen omzeilen, leveren ook beloningen op, aldus de blogpost.
Google heeft zijn bugbonusprogramma sinds 2010 gemaakt. Tot op heden heeft Google meer dan 8,500 bugrapporten ontvangen en onderzoekers $ 5 miljoen betaald. De eerste wijziging in de prijzenbasis vond plaats in september 2014, vier jaar na de lancering van het programma.
En in die tijd betaalde het Chrome-bugprogramma van Google meer dan $ 1.25 miljoen aan beveiligingsonderzoekers die meer dan 700 bugs in hun browser vonden, maar Google ontdekte dat dit niet genoeg was. Vijf jaar later steeg het aantal rapporten van 700 naar 8.500 en Google besloot de prijzen te verdrievoudigen.
Naast de bovengenoemde verhogingen, gaat Google heeft ook de beloningen voor fuzz-testen verhoogd (of willekeurige test), een techniek voor het testen van software die bugjagers ook gebruiken om willekeurige gegevens naar inputs te gooien.
Een softwareproduct voor het lokaliseren van problematische inzendingen. Volgens de blogpost is "De extra bonus voor bugs die zijn gevonden door fuzzers die het Chrome Fuzzer-programma uitvoeren, ook verdubbeld tot $ 1,000."
De stijging had ook invloed op de bedragen die aan onderzoekers werden betaald door het Google Play-beveiligingsbeloningsprogramma.
In feite stegen de beloningen voor fouten bij het uitvoeren van externe code van $ 5,000 tot $ 20,000, de diefstal van onbeveiligde privégegevens van $ 1,000 tot $ 3,000 en toegang tot beschermde applicatiecomponenten van $ 1,000 tot $ 3,000.
Bovendien, als u kwetsbaarheden op een "verantwoorde" manier bekendmaakt aan deelnemende applicatieontwikkelaars, ontvangt u volgens Google een bonus.
Hieronder vindt u de nieuwe uitgebreide lijst en de oude bugbonustabel. In aanmerking komende beveiligingsbugbeloningen variëren doorgaans van $ 500 tot $ 150,000.
En het is dat deze beweging van plan is dat de rapporten hun handen als eerste bereiken, aangezien niet alleen technologiebedrijven bugjagers belonen, maar ook overheden en criminelen betalen voor kwetsbaarheden, die ze kunnen gebruiken bij activiteiten zoals spionage en identiteitsdiefstal.
In de blogpost, Google heeft ook verduidelijkt wat het beschouwt als een rapport van hoge kwaliteit en heeft de foutcategorieën bijgewerkt om het voor onderzoekers gemakkelijker te maken.
"We hebben ook verduidelijkt wat we beschouwen als een rapport van hoge kwaliteit, om journalisten te helpen een zo hoog mogelijke beloning te krijgen, en we hebben de foutcategorieën bijgewerkt om de soorten fouten die worden gerapporteerd beter weer te geven en die ons meer interesseert", zegt hij zei het bedrijf.
Google zegt dat deze verhoging voor Chrome-bugjagers van toepassing zal zijn op inzendingen die na hun blogpost zijn ingediend. Meer informatie over de verhoging vindt u hier.
bron: https://security.googleblog.com/
Hoe meld ik een bug?