Ako mnohí z vás budú vedieť, Program Bounty zraniteľnosti prehliadača Chrome odmeňuje každého za priame objavenie a hlásenie bezpečnostných problémov prehliadača.
Spoločnosť Google nedávno oznámila, v príspevku na svojom blogu o zabezpečení, čo v súčasnosti všeobecne zvyšuje množstvo z „Programu odmien za zraniteľnosť Chrome“, pričom odmena za vysoko kvalitné správy sa zvýšila na 30,000 150,000 dolárov a bonus za nájdenie kompromisu v systéme Chrome OS bol prehodnotený o XNUMX XNUMX dolárov.
Hovorí to Google Medzi najdôležitejšie prírastky v bonusoch za chyby patrí strojnásobenie maximálnej odmeny pre takzvaný „základný“ prehľad s veľmi malými podrobnosťami od 5,000 15,000 do XNUMX XNUMX dolárov.
Maximálna výplata za takzvanú „vysoko kvalitnú“ správu s množstvom informácií, ktoré napríklad vysvetľujú, ako môžu hackeri chybu využiť, aký je jej pôvod alebo ako sa dá vyriešiť. 15,000 30,000 až XNUMX XNUMX dolárov, podľa článku blogu Chrome Security.
Najväčšia časť stále zostáva v dôsledku odhalenia zraniteľností v systéme Chrome OS, Softvérová platforma spoločnosti Google pre Chromebook alebo Chromebox.
Na tejto úrovni Google tiež zvýšil svoju odmenu na 150,000 XNUMX dolárov pre výskumných pracovníkov, ktorí objavia útoky, ktoré môžu kompromitovať Chromebook alebo Chromebox. Bezpečnostné chyby nájdené vo firmvéri a / alebo umožňujúce útočníkom obísť uzamknutú obrazovku systému Chrome OS tiež prinášajú podľa blogového príspevku odmeny.
Google vytvoril svoj program chybových bonusov od roku 2010. Google do dnešného dňa prijal viac ako 8,500 5 hlásení o chybách a vyšetrovateľom vyplatil 2014 miliónov dolárov. Prvá zmena v oceňovacej základni sa uskutočnila v septembri XNUMX, štyri roky po zavedení programu.
A v tom čase vyplatil chybový program spoločnosti Google Chrome viac ako 1.25 milióna dolárov výskumníkom v oblasti bezpečnosti, ktorí v ich prehliadači našli viac ako 700 chýb, no Google zistil, že to nestačí. O päť rokov neskôr sa počet správ zvýšil zo 700 na 8.500 XNUMX a Google sa rozhodol ceny strojnásobiť.
Okrem vyššie spomenutých zvýšení platí aj Google tiež zvýšil odmenu za testovanie fuzz (alebo náhodné testovanie), technika na testovanie softvéru, ktorú používajú lovci chýb aj na vrhanie náhodných údajov na vstupy.
Softvérový produkt na účely lokalizácie problematických záznamov. Podľa príspevku na blogu: „Dodatočný bonus za chyby nájdené fuzzermi, ktorí používajú program Chrome Fuzzer, sa tiež zdvojnásobil na 1,000 XNUMX dolárov.“
Toto zvýšenie ovplyvnilo aj sumy vyplatené výskumníkom v rámci programu odmien za zabezpečenie Google Play.
V skutočnosti sa odmeny za chyby pri vzdialenom spustení kódu zvýšili z 5,000 20,000 na 1,000 3,000 dolárov, krádež súkromných nezabezpečených údajov z 1,000 3,000 na XNUMX XNUMX dolárov a prístup k chráneným komponentom aplikácií z XNUMX XNUMX na XNUMX XNUMX dolárov.
Ak navyše zodpovedným spôsobom odhalíte zraniteľné miesta zúčastnených vývojárov aplikácií, podľa spoločnosti Google získate bonus.
Nižšie je uvedený nový rozšírený zoznam a stará tabuľka bonusov za chyby. Prípustné odmeny za chyby zabezpečenia sa zvyčajne pohybujú od 500 do 150,000 XNUMX dolárov.
Cieľom tohto hnutia je, aby sa správy dostali najskôr do ich rúk, pretože nielen technologické spoločnosti odmeňujú lovcov chýb, ale vlády a zločinci platia aj za zraniteľné miesta, ktoré môžu použiť pri činnostiach ako špionáž a krádež identity.
V blogovom príspevku Google tiež objasnil, čo považuje za vysoko kvalitnú správu, a aktualizoval kategórie chýb, aby to uľahčil výskumníkom.
„Tiež sme objasnili, čo považujeme za vysoko kvalitnú správu, aby sme pomohli novinárom získať čo najvyššiu odmenu, a aktualizovali sme kategórie chýb, aby lepšie odrážali typy hlásených chýb, ktoré nás viac zaujímajú,“ hovorí povedala.spoločnosť.
Google tvrdí, že toto zvýšenie pre vyhľadávačov chýb v Chrome sa bude vzťahovať na príspevky odoslané po ich blogovom príspevku. Viac podrobností o zvýšení nájdete tu.
Fuente: https://security.googleblog.com/
Ako nahlásim chybu?