• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Google делает сферу поиска уязвимостей всё более выгодной для исследователей безопасности

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В рамках программы вознаграждения за уязвимости («Bug Bounty») компания Google в прошлом году выплатила самую высокую награду в истории — около 12 миллионов долларов за более чем 2900 обнаруженных в своих продуктах уязвимостей.

Самая крупная выплата в 2022 году была за отчёт, в котором подробно описывалась цепочка из пяти Android-уязвимостей (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). Отчёт был представлен багхантером под ником «gzobqq», за него исследователь получил 605 тысяч долларов.

В 2021 году тот же исследователь обнаружил и сообщил о другой цепочке критических Android-эксплойтов и получил 157 тысяч долларов — тоже самую высокую награду на тот момент.

Обычно вознаграждение за Android-уязвимости, представленные через Google VRP, составляет до 10 тысяч долларов. Однако за целые цепочки эксплойтов компания может выплатить вплоть до 1 миллиона долларов. Суммарно именно на долю Android-уязвимостей пришлось 4,8 миллионов долларов выплат в 2022 году.

Также в прошлом году компания выплатила около 4 миллионов долларов за найденные уязвимости в браузере Chrome (около 360 шт) и проблемы безопасности в ChromeOS (около 110 шт).

Программа вознаграждений за продукты с открытым исходным кодом, запущенная Google в августе 2022 года, позволила более 100 багхантерам суммарно получить более 110 тысяч долларов.

Помимо вознаграждений, выплачиваемых исследователям, Google также выделила более 250 тысяч долларов в виде грантов более чем 170 исследователям. Эти средства предназначены для частных лиц, которые следят за продуктами и сервисами Google, даже если они не находят никаких уязвимостей. В прошлом году Google также была спонсором конференций NahamCon и BountyCon, связанных с кибербезопасностью.

Иными словами, Google предпринимает всё возможное, чтобы сделать отрасль поиска уязвимостей наиболее финансово выгодной. Своими действиями компания увеличивает потенциальное количество «белых хакеров» и делает используемое повсеместно программное обеспечение гораздо безопаснее.
 
Сверху