Siç do ta dinë shumë nga ju, Programi i miratimit të cenueshmërisë së Chrome shpërblen të gjithë për zbulimin dhe raportimin e drejtpërdrejtë të çështjeve të sigurisë së shfletuesit.
Google njoftoi së fundmi, në një postim në blogun e tij të sigurisë, e cila tani në përgjithësi po rrit sasitë nga "Programi i Shpërblimeve të Vulnerabilitetit të Chrome", me shpërblimin për raporte me cilësi të lartë u rrit në $ 30,000 dhe një bonus për gjetjen e kompromiseve në Chrome OS të rivlerësuar me $ 150,000.
Google thotë se Pikat kryesore të rritjes së shpërblimeve të defekteve përfshijnë trefishimin e shpërblimit maksimal për një raport të ashtuquajtur "bazë" me shumë pak detaje nga $ 5,000 në $ 15,000.
Pagesa maksimale për një raport të ashtuquajtur "me cilësi të lartë", me një mori informacioni që shpjegon, për shembull, se si hakerat mund të shfrytëzojnë defektin, cila është origjina e saj, ose se si mund të zgjidhet, gjithashtu dyfishohet. Nga 15,000 deri në 30,000 dollarë, sipas artikullit të blogut të Sigurisë së Chrome.
Shuma më e madhe është ende për shkak të zbulimit të dobësive në Chrome OS, Platforma softuerike e Google për Chromebook ose Chromebox.
Në këtë nivel, Google gjithashtu ka rritur shpërblimin e saj në 150,000 dollarë për studiuesit që do të zbulojnë sulme që mund të komprometojnë një Chromebook ose Chromebox. Gabimet e sigurisë të gjetura në firmware dhe / ose që lejojnë sulmuesit të anashkalojnë ekranin e kyçjes të OS OS gjithashtu paguajnë, sipas postimit të blogut.
Google ka krijuar programin e tij të bonusit të defekteve që nga viti 2010. Deri më tani, Google ka marrë më shumë se 8,500 raporte të defekteve në kod dhe u ka paguar hetuesve 5 milion dollarë. Ndryshimi i parë në bazën e çmimeve u bë në shtator 2014, katër vjet pas fillimit të programit.
Dhe në atë kohë, programi i defekteve në Chrome të Google pagoi më shumë se 1.25 milion dollarë për studiuesit e sigurisë të cilët gjetën më shumë se 700 mete në shfletuesin e tyre, por Google zbuloi se kjo nuk ishte e mjaftueshme. Pesë vjet më vonë, numri i raporteve u rrit nga 700 në 8.500 dhe Google vendosi të trefishojë çmimet.
Përveç rritjeve të përmendura më lart, Shkoogle gjithashtu ka rritur shpërblimet për testimin e fuzz (ose provë e rastit), një teknikë për testimin e softuerit që gjuetarët e metave gjithashtu përdorin për të hedhur të dhëna të rastit në hyrje.
Një produkt softuer me qëllim të lokalizimit të shënimeve të problemit. Sipas postimit në blog, "Bonusi shtesë për mete të gjetura nga lojtarët që ekzekutojnë programin Chrome Fuzzer gjithashtu është dyfishuar në $ 1,000".
Rritja gjithashtu preku shumat e paguara studiuesve nga programi i shpërblimeve të sigurisë Google Play.
Në fakt, shpërblimet për gabimet e ekzekutimit të kodit në distancë u rritën nga 5,000 dollarë në 20,000 1,000 dollarë, vjedhja e të dhënave private të pasigurta nga 3,000 1,000 dollarë në 3,000 XNUMX dollarë dhe aksesi në komponentët e mbrojtur të aplikacionit nga XNUMX dollarë në XNUMX XNUMX dollarë.
Për më tepër, nëse zbuloni dobësitë e zhvilluesve pjesëmarrës të aplikacioneve në një mënyrë "të përgjegjshme", do të merrni një bonus, sipas Google.
Më poshtë është lista e re e shtuar dhe tabela e vjetër e bonusit të defekteve në kod. Shpërblimet për gabimet e pranueshme të sigurisë zakonisht variojnë nga 500 deri në 150,000 XNUMX dollarë.
Dhe është që kjo lëvizje synon që raportet të arrijnë në duart e tyre të parat, pasi që jo vetëm kompanitë e teknologjisë shpërblejnë gjuetarët e metave, por qeveritë dhe kriminelët paguajnë gjithashtu për dobësitë, të cilat ata mund t'i përdorin në aktivitete të tilla si spiunazhi dhe vjedhja e identitetit.
Në postimin në blog, Google gjithashtu ka sqaruar atë që e konsideron një raport me cilësi të lartë dhe azhurnoi kategoritë e gabimeve për ta bërë më të lehtë për studiuesit.
"Ne gjithashtu kemi sqaruar atë që ne e konsiderojmë si një raport me cilësi të lartë, për të ndihmuar gazetarët të marrin shpërblimin më të lartë të mundshëm dhe ne kemi azhurnuar kategoritë e gabimeve për të pasqyruar më mirë llojet e gabimeve që raportohen dhe që na interesojnë më shumë," ai tha kompania.
Google thotë se kjo rritje për gjuetarët e defekteve në Chrome do të zbatohet për paraqitjet e paraqitura pas postimit të tyre në blog. Më shumë detaje rreth rritjes mund të gjeni këtu.
Fuente: https://security.googleblog.com/
Si mund të raportoj një defekt?