Google снова увеличивает выплаты за обнаружение уязвимостей в Chrome

Google без сомнения можно отнести к компании, которая популяризовала идею краудсорсинга в информационной безопасности, открыв программу вознаграждений за выявление уязвимостей в своих продуктах. После того, как сторонние исследователи обнаружили более 700 ошибок безопасности в Chrome, а размер выплат превысил $1.25 млн. USD, Google приняла решение увеличить сумму наград.

Увеличить рисунок

Том Уиллис, представитель команды Chrome Security, заявил, что браузер за многие годы очень сильно изменился, и архитектура программы стала значительно надёжнее, создавая значительные препятствия злоумышленникам. Тем не менее, это не означает, что Chrome достиг совершенства в безопасности, и хакеры, в том числе под патронажем силовых структур различных стран, могут тратить много времени на выявление уязвимостей нулевого дня и разработку эксплойтов к ним, получая постоянную зарплату, тогда как независимым исследователям приходится совмещать испытание браузера на прочность со своей постоянной работой, что снижает продуктивность. Дабы дать сообществу больший стимул в поиске дефектов, Google очередной раз повышает максимальную планку регулярных выплат. Если ранее этот рубеж составлял $5000, то сейчас он увеличен до $15000.

Google сохраняет за собой право увеличивать этот максимальный лимит, в случае если хакер обнаружил не просто уязвимость, но и сумел разработать действующий эксплойт, а вся работа в целом — является произведением хакерского искусства. Так, например, в прошлом месяце Google выплатила $30000 хакеру под псевдонимом lokihardt@asrt, хотя максимальная планка составляла $5000. У специалистов также есть возможность сначала сообщить об уязвимости, чтобы Google могла её скорее исправить, а затем показать рабочий эксплойт — на размер приза такое решение никак не повлияет. Кроме того, увеличение выплат не имеет отношения к конкурсам Pwn2Own и Pwnium, у которых отдельные призовые фонды. Кроме того, руководители Google решили, что увеличение выплат будет иметь ограниченное обратное действие. Все уже обнаруженные уязвимости с 1 июля 2014 года также получат надбавку к утверждённым призам.