» »

Google lani izplačal 6,5 milijona dolarjev prijaviteljem odkritih ranljivosti

Google lani izplačal 6,5 milijona dolarjev prijaviteljem odkritih ranljivosti

threatpost - Tehnološki velikani so v zadnjih letih vendarle ugotovili, da so programi nagrajevanja odkritih ranljivosti (bug bounty) koristni. Google je v letu 2019 iz tega naslova izplačal rekordnih 6,5 milijona dolarjev, kar je toliko v dveh predhodnih letih skupaj. Največja podeljena nagrada je znašala 201.000 dolarjev, skupno pa so nagradili 461 raziskovalcev. Povečanje mase izplačil je povezano s čedalje širšim naborom izdelkov, ki so vključeni v program, z višjo popularnostjo programa ter tudi z rastjo višine nagrad. Tako je najnižja nagrada odslej 15.000 dolarjev (in ne več 5.000 dolarjev). Najvišja nagrada še vedno ostaja milijon dolarjev za oddaljen, trajni napad na Titan M v novih napravah Pixel, kar ni uspelo še nikomur. Komur bi to uspelo na predogledni verziji, pa bi dobil kar 1,5 milijona dolarjev.

Lani je Google zagnal tudi Developer Data Protection Reward Program, ki je namenjen odkrivanju težav s puščanjem osebnih podatkov v aplikacijah za Android, v OAuth in v razširitvah za Chrome. Za posamezno odkritje hrošča, ki krši politiko zasebnosti, lahko prijavitelji prejmejo do 50.000 dolarjev. Google Play Security Reward Program pa so razširili na vse aplikacije (tudi drugih proizvajalcev), ki imajo vsaj 100 milijonov uporabnikov. V sklopu tega programa so izplačali 650.000 dolarjev.

Google seveda ni edini, ki nagrajuje odkrite in prijavljene ranljivosti. Microsoft je na primer v letu 2018 (za 2019 še ni podatkov) izplačal dva milijona dolarjev (Google v tem letu 3,4 milijona dolarjev), medtem ko je Apple šele lani dokončno odprl program vsem raziskovalcem. Facebook je leta 2018 izplačal 1,1 milijona dolarjev. To so visoke številke, a ne pozabimo, da se posamezne res dobre ranljivosti na sivem trgu prodajajo tudi še bistveno dražje.

3 komentarji

ElNuncio ::

Koliko bi slovenska država pobrala, če me google nagradi z $1M?

kamiKaZaA ::

ElNuncio je izjavil:

Koliko bi slovenska država pobrala, če me google nagradi z $1M?

Če bi šel vse po reglicah brez kreativnega računovodstva, bi ti država pobrala 63%. Torej bi na koncu ostalo neto 370k.

bucket ::

63% ?!?
Zakaj bi pol nekdo, ki najde ranljivost za "trajni napad na Titan M" to sploh sporočil Googlu in je raje ne prodal drugim organizacijam? Mogoče celo več njim.
Raziskovanje napadov taksnega obsega se običajno lotevajo združbe in ti vedo zakaj. Verjamem, da je Google pokrpal stvari, ki bi jih nekdo odkril "ker je samo tam nekaj probal".


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako je Uber izplačal 100.000 dolarjev odkupnine

Oddelek: Novice / Ostale najave
75729 (4691) mulc007
»

Za vdor v iPhone poldrugi milijon dolarjev

Oddelek: Novice / Varnost
64195 (2522) no comment
»

Vrhnja domena .shop prodana za rekordnih 41 milijonov dolarjev

Oddelek: Novice / Omrežja / internet
155621 (3727) Dumber
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
134600 (3254) filip007
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
53508 (2567) Jst

Več podobnih tem