TeamQuest Blog

Szukanie dziury w całym popłaca – Google podsumowuje rok w programie bug bounty

Szukanie dziury w całym popłaca – Google podsumowuje rok w programie bug bounty

Maciej Olanicki , 10.02.2019 r.

Każdy szanujący się producent oprogramowania czy też dostawca usług internetowych prowadzi dziś program bug bounty, w którym wynagradza znaleźców luk bezpieczeństwa. Odstępstwo od tego standardu może się nawet okazać sporym problemem, o czym w ostatnim czasie dobitnie przekonało się Apple. Dziura w macOS-ie pozostaje niezałatana, gdyż Apple nie zapłaci za jej odnalezienie.

VRP – Google wypłaciło 3,4 mln dolarów

Programy bug bounty są zatem ważnym elementem swojego rodzaju dżentelmeńskiej umowy między białymi kapeluszami a producentami. Są jednak także argumentem na rzecz porzucania czarnych kapeluszy – wszak skoro korporacje same płacą niemało za odnajdywanie podatności, to próby sprzedaży exploitów na czarnym rynku nie są już tak atrakcyjne. Jedną z firm, które poświęca spore środki (choć w porównaniu z przychodami jest to ochłap) na nagradzanie białych kapeluszy jest Google. Program Google Vulnerability Reward Program (VRP) realizowany jest konsekwentnie od 2010 roku.

google

W ostatnim czasie korporacja podsumowała rok 2018 w swoim programie bug bounty i trzeba przyznać, że liczby robią wrażenie. W zeszłym roku przyznano 1319 nagród 317 osobom z 78 państw. Ich łączna wartość wyniosła 3,4 mln dolarów, z czego 1,7 mln dolarów to nagrody za znalezienie dziur w Androidzie i Chrome. Największa pojedyncza nagroda wyniosła 41 tys. dolarów, czyli według dzisiejszego kursu równowartość ponad 156 tys złotych. Jak widać, szukanie dziury w całym to całkiem intratne zajęcie.

W podsumowaniu Google jest i polski akcent – korporacja wymienia Tomasza Bojarskiego, który w zeszłym roku był liderem wśród wszystkich nagrodzonych. W tym także miał spory wkład w bezpieczeństwo, odnajdując podatność XSS wewnątrz domen Google, której wykorzystanie można obejrzeć w filmie poniżej. W tym roku pierwsze pozycje zostały zdominowane przede wszystkim przez pracowników naukowych. Google przekazało za ich pośrednictwem ponad 500 tys. dolarów uczelniom wyższym.

Od momentu uruchomienia pierwszego programu bug bounty, Google wypłaciło uczestnikom około 15 mln dolarów. Warto zwrócić uwagę, że nagrody są bardzo zróżnicowane. Aby zostać nagrodzonym, nie trzeba wcale odkrywać krytycznej luki, na której wykorzystanie narażone są miliony. Dolny próg nagród to 100 dolarów, ale maksymalnie jednorazowo Google może zapłacić 200 tys. dolarów. Szczegóły i „cennik” można znaleźć na stronie Google Vulnerability Reward Program.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej