Як багато хто з вас знатиме, Програма винагороди за вразливість Chrome винагороджує всіх за безпосереднє виявлення та повідомлення про проблеми безпеки браузера.
Google нещодавно оголосив, у дописі в своєму блозі безпеки, який зараз в цілому збільшується від "Програми винагород за вразливість Chrome", винагорода за якісні звіти зросла до 30,000 150,000 доларів США, а бонус за пошук компромісів у ОС Chrome переоцінений на XNUMX XNUMX доларів США.
Google говорить це Основні моменти збільшення бонусів за помилки включають потроєння максимальної винагороди для так званого "базового" звіту з дуже невеликою кількістю деталей від 5,000 до 15,000 доларів.
Максимальна виплата за так званий "високоякісний" звіт з безліччю інформації, що пояснює, наприклад, як хакери можуть використати помилку, що є її джерелом або як її можна вирішити, також подвоюється. Відповідно до статті блогу Chrome Security від 15,000 30,000 до XNUMX XNUMX доларів.
Більша сума все-таки пов'язана з виявленням вразливостей в ОС Chrome, Програмна платформа Google для Chromebook або Chromebox.
На цьому рівні Google також збільшив свою винагороду до 150,000 XNUMX доларів для дослідників, які виявлять атаки, які можуть скомпрометувати Chromebook або Chromebox. Помилки безпеки, виявлені в прошивці та / або дозволяють зловмисникам обійти екран блокування ОС Chrome, також окупаються, йдеться в повідомленні в блозі.
Google створює свою програму бонусів до помилок з 2010 року. На сьогоднішній день Google отримав понад 8,500 повідомлень про помилки і заплатив слідчим 5 мільйонів доларів. Перша зміна бази нагород була внесена у вересні 2014 року, через чотири роки після запуску програми.
І в той час програма помилок Chrome від Google заплатила понад 1.25 мільйона доларів дослідникам безпеки, які виявили в своєму браузері понад 700 помилок, але Google виявив, що цього недостатньо. Через п’ять років кількість звітів зросла з 700 до 8.500 XNUMX, і Google вирішив потроїти нагороди.
На додаток до зазначених вище збільшення, Google також збільшив винагороду за тестування нечіткості (або випадковий тест), техніка для тестування програмного забезпечення, яке мисливці за помилками також використовують для перекидання випадкових даних у входи.
Програмний продукт для пошуку записів про проблеми. Згідно з повідомленням у блозі, "Додатковий бонус за помилки, знайдені пустунками, що запускають програму Chrome Fuzzer, також подвоївся до 1,000 доларів".
Збільшення також вплинуло на суми, виплачені дослідникам програмою винагород за безпеку Google Play.
Фактично винагорода за помилки віддаленого виконання коду зросла з 5,000 до 20,000 1,000 доларів США, крадіжка приватних незахищених даних з 3,000 доларів до 1,000 доларів США, а доступ до захищених компонентів додатків - з 3,000 до XNUMX доларів.
Крім того, якщо ви розкриєте вразливості розробників програм, що беруть участь, "відповідально", ви отримаєте бонус, повідомляє Google.
Нижче наведено новий доповнений список та стару таблицю бонусів за помилки. Винагороди за допустимі помилки безпеки зазвичай становлять від 500 до 150,000 XNUMX доларів.
І саме в тому, що цей рух має на меті отримати звіти в першу чергу, оскільки не лише технологічні компанії винагороджують мисливців за помилками, але уряди та злочинці також платять за вразливі місця, які вони можуть використовувати в таких діях, як шпигунство та крадіжка особистості.
У дописі в блозі Google також уточнив, що вважає якісним звітом, та оновив категорії помилок, щоб полегшити роботу дослідників.
"Ми також пояснили, що ми вважаємо високоякісним репортажем, щоб допомогти журналістам отримати максимально високу винагороду, і ми оновили категорії помилок, щоб краще відображати типи помилок, про які повідомляється і що нас цікавить більше", - сказав він. сказала компанія.
Google заявляє, що це збільшення для мисливців за помилками Chrome застосовуватиметься до поданих матеріалів після їх публікації в блозі. Детальніше про збільшення можна знайти тут.
Фуенте: https://security.googleblog.com/
Як повідомити про помилку?