Google расширила программу вознаграждения Bug Bounty

Инженеры Google сообщили в блоге компании о расширении Vulnerability Reward Program. Теперь можно получить до 5000 долларов за сообщение о злоупотреблении, мошенничестве или спаме.

С момента старта программы в 2010 году корпорация выплатила более 12 млн долларов по Bug Bounty. Согласно правилам:

Любая проблема разработки или реализации, которая существенно влияет на конфиденциальность или целостность пользовательских данных, скорее всего, входит в программу.

В качестве общих примеров перечислены: межсайтовый скриптинг, подделка межсайтовых запросов, сценарии со смешанным содержимым, недостатки проверки подлинности или авторизации, ошибки выполнения кода на стороне сервера.

Новый тип уязвимости

Последние два года «охотники за багами» (bughunters) находили не только уязвимости безопасности, но и примеры злоупотребления, поэтому Google решила официально расширить список правил. Теперь исследователям будут выплачивать вознаграждение за баги, которые позволяют массово обманывать систему восстановления учетных записей, устраивать брутфорс-атаки, обходить ограничения на распространение и использование контента, а также приобретать продукты компании, не заплатив. За обнаружение одной уязвимости можно получить до 5000 долларов.

Например, уязвимость, позволяющая массово манипулировать рейтингами в Google Maps, путем добавления фальшивых отзывов, определенно достойна денежного вознаграждения.

При этом жаловаться на публикацию контента, нарушающего политику компании, отправку спам-писем или предоставление ссылок на вредоносное ПО нужно через существующие каналы отдельных продуктов, например, Google+, YouTube, Gmail и Blogger.

Прежде чем выплатить деньги, инженеры компании разберутся, как настоящая атака использует найденный баг. Также они оценят вероятность его появления, уровень опасности и мотивацию потенциальных злоумышленников.

Источник: tproger.ru

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!