Новости Рекордные выплаты за баги: Google объявляет новые суммы вознаграждений

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Компания объяснила, за какие ошибки теперь можно получить $151 515.


aw0l9pskfdgq41t6la92eyqpoy2l8yg6.jpg


Google Для просмотра ссылки Войди или Зарегистрируйся о повышении выплат за найденные уязвимости в своих системах и приложениях. Поскольку системы компании стали более защищёнными, и теперь требуется гораздо больше времени на обнаружение ошибок, Google решил увеличить некоторые выплаты в 5 раз.

В рамках программы Vulnerability Reward Program (VRP) теперь можно получить до $151 515 за одну выявленную ошибку безопасности. Сумма включает в себя $101 010 за RCE-уязвимость в наиболее чувствительных системах компании, умноженные на коэффициент 1,5 за исключительное качество отчёта. Все обнаруженные уязвимости будут рассматриваться в соответствии с новыми правилами выплат.

Помимо увеличения сумм вознаграждений, Google расширил возможности получения выплат, включив возможность получения денег через платформу Bugcrowd . В обновлённом разделе правил Google VRP можно найти подробную информацию о новых суммах вознаграждений и структуре выплат.

Примеры новых выплат:

  • Уязвимость логики, приводящая к захвату аккаунта @gmail.com: $75 000 (ранее $13 337);
  • XSS-уязвимость на idx.google.com: $15 000 (ранее $3 133.7);
  • Ошибка логики, раскрывающая личную информацию на home.nest.com: $3 750 (ранее $500).

dg77p8zpj7jt08pgub83hafn9biveeyd.png


Пример расчета увеличенных выплат

На прошлой неделе Google Для просмотра ссылки Войди или Зарегистрируйся новую программу вознаграждений kvmCTF, целью которой является улучшение безопасности гипервизора Kernel-based Virtual Machine (KVM). За полное выполнение VM-эксплойта в гипервизоре KVM предлагается награда в размере $250 000.

С момента запуска программы VRP в 2010 году Google выплатила более $50 миллионов исследователям безопасности, которые сообщили о более 15 000 уязвимостей. За прошлый год Google выплатила $10 миллионов, при этом самая большая награда составила $113 337.

Для просмотра ссылки Войди или Зарегистрируйся была выплачена исследователю gzobqq в 2022 году за серию из 5 уязвимостей в цепочке эксплойтов для Android. Этот же исследователь сообщил о другой критической цепочке эксплойтов для Android в 2021 году, получив выплату в $157 000.
 
Источник новости
www.securitylab.ru

Похожие темы