threatpost - Tehnološki velikani so v zadnjih letih vendarle ugotovili, da so programi nagrajevanja odkritih ranljivosti (bug bounty) koristni. Google je v letu 2019 iz tega naslova izplačal rekordnih 6,5 milijona dolarjev, kar je toliko v dveh predhodnih letih skupaj. Največja podeljena nagrada je znašala 201.000 dolarjev, skupno pa so nagradili 461 raziskovalcev. Povečanje mase izplačil je povezano s čedalje širšim naborom izdelkov, ki so vključeni v program, z višjo popularnostjo programa ter tudi z rastjo višine nagrad. Tako je najnižja nagrada odslej 15.000 dolarjev (in ne več 5.000 dolarjev). Najvišja nagrada še vedno ostaja milijon dolarjev za oddaljen, trajni napad na Titan M v novih napravah Pixel, kar ni uspelo še nikomur. Komur bi to uspelo na predogledni verziji, pa bi dobil kar 1,5 milijona dolarjev.
Lani je Google zagnal tudi Developer Data Protection Reward Program, ki je namenjen odkrivanju težav s puščanjem osebnih podatkov v aplikacijah za Android, v OAuth in v razširitvah za Chrome. Za posamezno odkritje hrošča, ki krši politiko zasebnosti, lahko prijavitelji prejmejo do 50.000 dolarjev. Google Play Security Reward Program pa so razširili na vse aplikacije (tudi drugih proizvajalcev), ki imajo vsaj 100 milijonov uporabnikov. V sklopu tega programa so izplačali 650.000 dolarjev.
Google seveda ni edini, ki nagrajuje odkrite in prijavljene ranljivosti. Microsoft je na primer v letu 2018 (za 2019 še ni podatkov) izplačal dva milijona dolarjev (Google v tem letu 3,4 milijona dolarjev), medtem ko je Apple šele lani dokončno odprl program vsem raziskovalcem. Facebook je leta 2018 izplačal 1,1 milijona dolarjev. To so visoke številke, a ne pozabimo, da se posamezne res dobre ranljivosti na sivem trgu prodajajo tudi še bistveno dražje.
Novice » Varnost » Google lani izplačal 6,5 milijona dolarjev prijaviteljem odkritih ranljivosti
PersonaRuda ::
bucket ::
63% ?!?
Zakaj bi pol nekdo, ki najde ranljivost za "trajni napad na Titan M" to sploh sporočil Googlu in je raje ne prodal drugim organizacijam? Mogoče celo več njim.
Raziskovanje napadov taksnega obsega se običajno lotevajo združbe in ti vedo zakaj. Verjamem, da je Google pokrpal stvari, ki bi jih nekdo odkril "ker je samo tam nekaj probal".
Zakaj bi pol nekdo, ki najde ranljivost za "trajni napad na Titan M" to sploh sporočil Googlu in je raje ne prodal drugim organizacijam? Mogoče celo več njim.
Raziskovanje napadov taksnega obsega se običajno lotevajo združbe in ti vedo zakaj. Verjamem, da je Google pokrpal stvari, ki bi jih nekdo odkril "ker je samo tam nekaj probal".
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako je Uber izplačal 100.000 dolarjev odkupnineOddelek: Novice / Ostale najave | 6332 (5294) | mulc007 |
» | Za vdor v iPhone poldrugi milijon dolarjevOddelek: Novice / Varnost | 4472 (2799) | no comment |
» | Vrhnja domena .shop prodana za rekordnih 41 milijonov dolarjevOddelek: Novice / Omrežja / internet | 5921 (4027) | Dumber |
» | Tudi Microsoft bo plačeval za najdene ranljivostiOddelek: Novice / Varnost | 4805 (3459) | filip007 |
» | Facebook širi program nagrajevanja odkritih ranljivostiOddelek: Novice / Varnost | 3684 (2743) | Jst |