The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей

29.01.2020 12:57

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и различном открытом ПО. Общая сумма выплаченных в 2019 году вознаграждений составила 6.5 млн долларов, из которых $2.1 млн выплачено за уязвимости в сервисах Google, $1.9 млн - в Android, $1 млн - в Chrome и $800 тысяч - в приложениях Google Play (остальные средства были выделены на пожертвования). Для сравнения в 2018 году в сумме было выплачено 3.4 млн долларов, а в 2015 - 2 млн долларов. За 9 лет суммарный размер выплат составил 21 млн долларов.

Вознаграждения получил 461 исследователь. Самую большую выплату в 201 тысячу долларов получил исследователь Guang Gong, выявивший уязвимость, позволяющую удалённо выполнить код на устройстве Pixel 3 (161 тысяча долларов была получена за уязвимости в Android и 40 тысяч за уязвимости в Chrome).

В 2019 году Google была введена премия за выявление уязвимостей в популярных Android-приложениях, а стоимость информации об удалённо эксплуатируемой уязвимости в Android-приложениях Google увеличена с 5 до 20 тысяч долларов, утечке данных и доступе к защищённым компонентам с 1000 до 3000 долларов. Размер премии за эксплоит для полной компрометации Chromebook или Chromebox из режима гостевого доступа увеличен до 150 тысяч долларов.

Максимальный размер выплаты за создание эксплоита для выхода из sandbox-окружения Chrome увеличен с 15 до 30 тысяч долларов, за метод обхода разграничения доступа в JavaScript (XSS) c 7.5 до 20 тысяч долларов, за организацию удалённого выполнения кода на уровне системы отрисовки с 7.5 до 10 тысяч долларов, за выявление утечек информации - с 4 до 5-20 тысяч долларов. Введены выплаты за методы спуфинга в интерфейсе пользователя ($7500), повышения привилегий в web-платформе ($5000) и обхода защиты от эксплуатации уязвимостей ($5000). В два раза увеличены выплаты за подготовку качественного и базового описания уязвимости без демонстрации эксплоита. До 1000 долларов увеличена бонусная выплата за выявления уязвимости при помощи Chrome Fuzzer.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях
  3. OpenNews: GitHub запустил совместный проект для выявления уязвимостей в открытом ПО
  4. OpenNews: Google будет выплачивать премии за выявление уязвимостей в популярных Android-приложениях
  5. OpenNews: Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/52271-google
Ключевые слова: google, reward, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:38, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Я нашел уязвимость в браузере хром. Он вечно шлет данные на левые айпишники. Сколько за это положено денег мне?
     
     
  • 2.3, Аноним (3), 13:55, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    До трёх тысяч долларов, если продемонстрируйте факты утечек, не соответствующих https://www.google.com/chrome/privacy/whitepaper.html (запрос блеклистов, проверки в
    CLR и прочее).
     
     
  • 3.8, Аноним (8), 16:41, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я малварю нашел в описании:

    Usage statistics contain information such as system information, preferences, user interface feature usage, responsiveness, performance, and memory usage. Crash reports contain system information gathered at the time of the crash, and may contain web page URLs or personal information depending on what was happening at the time of the crash. This feature is enabled by default for Chrome installations of version 54 or later. You can control the feature in the "Sync and Google services" section of Chrome's settings.

     
  • 2.5, Аноним (5), 14:37, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это фича.
     

  • 1.2, Аноним (2), 13:49, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это вам не FF, где собранные с народа деньги делят между собой руководители проекта.
     
     
  • 2.4, Аноним (5), 14:36, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Они получают деньги от того же Гугла и делят. И уязвимости можно и самим продавать. А те про которые приходят репорты закрывать и открывать новые уязвимости за новые деньги.
     
     
  • 3.6, Аноним (6), 16:10, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  А те про которые приходят репорты закрывать и открывать новые уязвимости за новые деньги

    Я полагаю вы занимаетесь бизнесом?

     
     
  • 4.7, Аноним (8), 16:39, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет конечно же в Мозилла фаундейшн занимаюсь благотворительностью. А ещё они катаются на белых пони по радуге.
     
     
  • 5.10, Аноним (10), 17:12, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только гугла работает честнее. И не скрывает, что следит за пользователями и сливает данные. Это крупнейший поисковый сервис и крупнейший рекламный ритейлер, что вы хотели?! А браузер для него это седьмая вода на киселе. А вот мозила врёт. И льёт втихушку. Крича о своей приватности.
     
     
  • 6.12, Лененим (?), 06:50, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не защищаю мозиллу, но вы таки говорите что гугл белый и пушистый?!
     
     
  • 7.13, Лененим (?), 06:52, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Распространяется как adware, с каждым обновлением ненужности, лишние сервисы?
    Когда вам приходилось снимать галку - не устанавливать доп. браузер мозилла, не ставить поисковик от [какой там у мозиллы хз]...
    Не говоря уж что хромиум прогнулся под них давно
     
     
  • 8.17, нах. (?), 15:07, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    эммм куча мусора Recommend extensions as you browse, Recommend features as yo... текст свёрнут, показать
     
  • 7.15, Аноним (15), 14:14, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Google - коммерческая компания, работающая в интересах акционеров. Mozilla Foundation - некоммерческая организация с заявленными общественными целями.
     
  • 6.18, Аноним (18), 20:39, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Google сливает твоих данных ровно столько же, сколько ежедневно ты сливаешь их сам. По крайней мере у гугла есть возможность ими управлять, вплоть до удаления. Откуда эта шиза идёт про какие-то там данные не могу понять?
     
  • 3.9, Аноним (10), 17:08, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Просто бизнес. Ничего личного.
    Машина должна работать. Маховик крутиться.
     

  • 1.11, Аноним (10), 20:35, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто уже сколько деньжат заработал на ентом деле?
     
  • 1.14, Аноним (14), 08:50, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как-то отсылал по их форме информацию о баге. Пришло письмо, мол спасибо и все ни ответа ни привета. Вранье все это что они платят.
     
     
  • 2.16, нах. (?), 15:01, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    лошара. bug bounty - это совсем в других местах, и миллионов там не плотют.

    А тут надо не "информацию о баге", а запустить что-нибудь интересное на чужой мабиле, например.
    А потом оказаться честным, и, вместо того, чтобы просто обналичить все угнанные кредитки, и еще немножечко помайнить в чужих карманах - продать все это дело гуглю - да, твоя доля будет гораздо меньше, но и страдать, когда поймают, не придется.

    Короче, копай в другом месте.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру