В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей
Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и различном открытом ПО. Общая сумма выплаченных в 2016 году вознаграждений составила 6.5 млн долларов, из которых $2.1 млн выплачено за уязвимости в сервисах Google, $1.9 млн — в Android, $1 млн — в Chrome и $800 тысяч — в приложениях Google Play (остальные средства были выделены на пожертвования). Для сравнения в 2018 году в сумме было выплачено 3.4 млн долларов, а в 2015 — 2 млн долларов. За 9 лет суммарный размер выплат составил 21 млн долларов.
Вознаграждения получили 461 исследователей. Самую большую выплату в 201 тысячу долларов получил исследователь Guang Gong, выявивший уязвимость, позволяющую удалённо выполнить код на устройстве Pixel 3 (161 тысяча долларов была получена за уязвимости в Andrpid и 40 тысяч за уязвимости в Chrome).
В 2019 году Google была введена премия за выявление уязвимостей в популярных Android-приложениях, а стоимость информации об удалённо эксплуатируемой уязвимости в Android-приложениях Google увеличена с 5 до 20 тысяч долларов, утечке данных и доступе к защищённым компонентам с 1000 до 3000 долларов. Размер премии за эксплоит для полной компрометации Chromebook или Chromebox из режима гостевого доступа увеличен до 150 тысяч долларов.
Максимальный размер выплаты за создание эксплоита для выхода из sandbox-окружения Chrome увеличен с 15 до 30 тысяч долларов, за метод обхода разграничения доступа в JavaScript (XSS) c 7.5 до 20 тысяч долларов, за организацию удалённого выполнения кода на уровне системы отрисовки с 7.5 до 10 тысяч долларов, за выявление утечек информации — с 4 до 5–20 тысяч долларов. Введены выплаты за методы спуфинга в интерфейсе пользователя ($7500), повышения привилегий в web-платформе ($5000) и обхода защиты от эксплуатации уязвимостей ($5000). В два раза увеличены выплаты за подготовку качественного и базового описания уязвимости без демонстрации эксплоита. До 1000 долларов увеличена бонусная выплата за выявления уязвимости при помощи Chrome Fuzzer.
Источник: http://www.opennet.ru/opennews/art.shtml? num=52271
© OpenNet