+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Google розширила програму винагороди Vulnerability Reward Program

Google розширила програму винагороди Vulnerability Reward Program

Google повідомила в блозі компанії про розширення Vulnerability Reward Program. Тепер можна отримати до 5000 доларів за повідомлення про зловживання, шахрайство або спам.

Передісторія Google Vulnerability Reward Program

З моменту старту програми в 2010 році корпорація виплатила понад 12 млн доларів за Bug Bounty. Згідно з правилами:

Будь-яка проблема розробки або реалізації, яка істотно впливає на конфіденційність або цілісність даних, швидше за все, входить у програму.

Як загальні приклади перераховані: міжсайтовий скриптинг, підробка міжсайтових запитів, сценарії зі змішаним вмістом, недоліки автентифікації або авторизації, помилки виконання коду на стороні сервера.

Новий тип вразливості

Останні два роки «мисливці за багами» (bughunters) знаходили не тільки вразливість безпеки, але й приклади зловживання, тому Google вирішила офіційно розширити список правил. Тепер дослідникам виплачуватимуть винагороду за баги, які дозволяють масово обманювати систему відновлення облікових записів, влаштовувати брутфорс-атаки, обходити обмеження на поширення та використання контенту, а також купувати продукти компанії, не заплативши. За виявлення однієї вразливості можна отримати до 5000 доларів.

Наприклад, вразливість, що дозволяє масово маніпулювати рейтингами в Google Maps, шляхом додавання фальшивих відгуків, безумовно гідна грошового винагороди.

При цьому скаржитися на публікацію контенту, що порушує політику компанії, відправлення спам-листів або надання посилань на шкідливе ПО потрібно через існуючі канали окремих продуктів, наприклад, Google+, YouTube, Gmail та Blogger.

Розгляд

Перш ніж виплатити гроші, інженери компанії розберуться, як справжня атака використовує знайдений баг. Також вони оцінять ймовірність його появи, рівень небезпеки та мотивацію потенційних зловмисників.

 

Інші новини

Найкраща ціна