Google расширила программу вознаграждения Bug Bounty
Новости
Компания будет платить за нахождение багов, которые позволяют обмануть системы защиты от различного фрода и спама.
1К открытий1К показов
Инженеры Google сообщили в блоге компании о расширении Vulnerability Reward Program. Теперь можно получить до 5000 долларов за сообщение о злоупотреблении, мошенничестве или спаме.
Предыстория
С момента старта программы в 2010 году корпорация выплатила более 12 млн долларов по Bug Bounty. Согласно правилам:
Любая проблема разработки или реализации, которая существенно влияет на конфиденциальность или целостность пользовательских данных, скорее всего, входит в программу.
В качестве общих примеров перечислены: межсайтовый скриптинг, подделка межсайтовых запросов, сценарии со смешанным содержимым, недостатки проверки подлинности или авторизации, ошибки выполнения кода на стороне сервера.
Новый тип уязвимости
Последние два года «охотники за багами» (bughunters) находили не только уязвимости безопасности, но и примеры злоупотребления, поэтому Google решила официально расширить список правил. Теперь исследователям будут выплачивать вознаграждение за баги, которые позволяют массово обманывать систему восстановления учетных записей, устраивать брутфорс-атаки, обходить ограничения на распространение и использование контента, а также приобретать продукты компании, не заплатив. За обнаружение одной уязвимости можно получить до 5000 долларов.
Например, уязвимость, позволяющая массово манипулировать рейтингами в Google Maps, путем добавления фальшивых отзывов, определенно достойна денежного вознаграждения.
При этом жаловаться на публикацию контента, нарушающего политику компании, отправку спам-писем или предоставление ссылок на вредоносное ПО нужно через существующие каналы отдельных продуктов, например, Google+, YouTube, Gmail и Blogger.
Рассмотрение
Прежде чем выплатить деньги, инженеры компании разберутся, как настоящая атака использует найденный баг. Также они оценят вероятность его появления, уровень опасности и мотивацию потенциальных злоумышленников.
Программа Bug Bounty применяется и в российской практике. Так, в марте 2018 года «Лаборатория Касперского» расширила бонусную программу по поиску багов в продуктах компании. За самые серьезные находки исследователям обещано вознаграждение в 100 000 долларов.
1К открытий1К показов