หลาย ๆ ท่านคงทราบดีว่า โปรแกรมเงินรางวัลสำหรับช่องโหว่ของ Chrome ให้รางวัลแก่ทุกคนสำหรับการค้นพบและรายงานปัญหาด้านความปลอดภัยของเบราว์เซอร์โดยตรง
Google เพิ่งประกาศในโพสต์บนบล็อกความปลอดภัยของเขา ซึ่งโดยทั่วไปแล้วปริมาณที่เพิ่มขึ้น จาก“ โปรแกรม Chrome Vulnerability Rewards” พร้อมรางวัลสำหรับรายงานคุณภาพสูงเพิ่มขึ้นเป็น 30,000 ดอลลาร์และโบนัสสำหรับการค้นหาการบุกรุกใน Chrome OS โดยประเมินใหม่ 150,000 ดอลลาร์
Google บอกอย่างนั้น จุดเด่นของการเพิ่มโบนัสบั๊ก ได้แก่ การเพิ่มรางวัลสูงสุดเป็นสามเท่า สำหรับรายงานที่เรียกว่า "พื้นฐาน" ซึ่งมีรายละเอียดน้อยมากตั้งแต่ 5,000 ถึง 15,000 เหรียญ
ผลตอบแทนสูงสุดสำหรับรายงานที่เรียกว่า "คุณภาพสูง" พร้อมด้วยข้อมูลมากมายที่อธิบายเช่นแฮกเกอร์สามารถใช้ประโยชน์จากข้อบกพร่องได้อย่างไรต้นกำเนิดของมันคืออะไรหรือจะแก้ไขได้อย่างไร จาก $ 15,000 ถึง $ 30,000 ตามบทความบล็อก Chrome Security
จำนวนที่มากขึ้นยังคงเป็นผลมาจากการค้นพบช่องโหว่ใน Chrome OS แพลตฟอร์มซอฟต์แวร์ของ Google สำหรับ Chromebook หรือ Chromebox
ในระดับนี้ Google ยังได้เพิ่มรางวัลเป็น $ 150,000 สำหรับนักวิจัยที่ค้นพบการโจมตีที่สามารถทำลาย Chromebook หรือ Chromebox ข้อบกพร่องด้านความปลอดภัยที่พบในเฟิร์มแวร์และ / หรือที่ทำให้ผู้โจมตีสามารถข้ามหน้าจอล็อกของ Chrome OS ได้เช่นกันตามบล็อกโพสต์
Google ได้สร้างโปรแกรมโบนัสบั๊กตั้งแต่ปี 2010 จนถึงปัจจุบัน Google ได้รับรายงานข้อบกพร่องมากกว่า 8,500 รายการและจ่ายเงินให้ผู้ตรวจสอบ 5 ล้านดอลลาร์ การเปลี่ยนแปลงฐานรางวัลครั้งแรกเกิดขึ้นในเดือนกันยายน 2014 สี่ปีหลังจากการเปิดตัวโปรแกรม
และในเวลานั้นโปรแกรมบั๊ก Chrome ของ Google ได้จ่ายเงินมากกว่า 1.25 ล้านดอลลาร์ให้กับนักวิจัยด้านความปลอดภัยซึ่งพบข้อบกพร่องมากกว่า 700 รายการในเบราว์เซอร์ของตน แต่ Google พบว่าสิ่งนี้ไม่เพียงพอ ห้าปีต่อมาจำนวนรายงานเพิ่มขึ้นจาก 700 เป็น 8.500 และ Google ตัดสินใจให้รางวัลเป็นสามเท่า
นอกเหนือจากการเพิ่มขึ้นดังกล่าวข้างต้น Google ยังได้เพิ่มรางวัลสำหรับการทดสอบ fuzz (หรือการทดสอบแบบสุ่ม) ซึ่งเป็นเทคนิคในการทดสอบซอฟต์แวร์ที่นักล่าแมลงใช้เพื่อโยนข้อมูลแบบสุ่มลงในอินพุต
ผลิตภัณฑ์ซอฟต์แวร์เพื่อวัตถุประสงค์ในการค้นหารายการปัญหา ตามบล็อกโพสต์ "โบนัสพิเศษสำหรับข้อบกพร่องที่พบโดย fuzzers ที่ใช้โปรแกรม Chrome Fuzzer เพิ่มขึ้นเป็นสองเท่าเป็น $ 1,000"
การเพิ่มขึ้นยังส่งผลต่อจำนวนเงินที่จ่ายให้กับนักวิจัยโดยโปรแกรมรางวัลด้านความปลอดภัยของ Google Play
ในความเป็นจริงรางวัลสำหรับข้อผิดพลาดในการเรียกใช้รหัสจากระยะไกลเพิ่มขึ้นจาก 5,000 ดอลลาร์เป็น 20,000 ดอลลาร์การขโมยข้อมูลส่วนตัวที่ไม่ปลอดภัยจาก 1,000 ดอลลาร์เป็น 3,000 ดอลลาร์และการเข้าถึงส่วนประกอบแอปพลิเคชันที่ได้รับการป้องกันจาก 1,000 ดอลลาร์เป็น 3,000 ดอลลาร์
นอกจากนี้หากคุณเปิดเผยช่องโหว่ให้กับนักพัฒนาแอปพลิเคชันที่เข้าร่วมในลักษณะ "รับผิดชอบ" คุณจะได้รับโบนัสตามที่ Google กล่าว
ด้านล่างนี้คือรายการเสริมใหม่และตารางโบนัสบั๊กเก่า โดยทั่วไปรางวัลสำหรับข้อบกพร่องด้านความปลอดภัยที่มีสิทธิ์จะมีตั้งแต่ $ 500 ถึง $ 150,000
และการเคลื่อนไหวนี้ตั้งใจที่จะให้รายงานไปถึงมือพวกเขาก่อนเนื่องจากไม่เพียง แต่ บริษัท เทคโนโลยีจะให้รางวัลแก่นักล่าข้อบกพร่องเท่านั้น แต่รัฐบาลและอาชญากรยังจ่ายค่าช่องโหว่ซึ่งพวกเขาสามารถใช้ในกิจกรรมต่างๆเช่นการจารกรรมและการขโมยข้อมูลประจำตัว
ในบล็อกโพสต์ Google ได้ชี้แจงสิ่งที่ถือว่าเป็นรายงานคุณภาพสูงและอัปเดตหมวดหมู่ข้อผิดพลาดเพื่อให้ง่ายขึ้นสำหรับนักวิจัย
"นอกจากนี้เรายังได้ชี้แจงสิ่งที่เราถือว่าเป็นรายงานคุณภาพสูงเพื่อช่วยให้นักข่าวได้รับรางวัลสูงสุดเท่าที่จะเป็นไปได้และเราได้อัปเดตหมวดหมู่ข้อผิดพลาดเพื่อสะท้อนประเภทข้อผิดพลาดที่ได้รับรายงานและสิ่งที่เราสนใจมากขึ้น" เขา กล่าว. บริษัท .
Google กล่าวว่าการเพิ่มขึ้นสำหรับนักล่าข้อบกพร่องของ Chrome จะมีผลกับการส่งที่ส่งหลังจากโพสต์บล็อกของพวกเขา คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับการเพิ่มได้ที่นี่
Fuente: https://security.googleblog.com/
ฉันจะรายงานข้อบกพร่องได้อย่างไร