В 2010 году компания Google запустила программу по выплате денежного вознаграждения за обнаружение уязвимостей в своих сервисах. Только за прошлый год более 300 разных исследователей по компьютерной безопасности, обнаруживших более 750 ошибок, получили от Google больше $2 млн. Всего же с момента запуска программы в общей сложности было выплачено более $6 млн.
Подобные программы вознаграждения за обнаруженные ошибки являются прекрасным дополнением к существующим внутренним проектам, целью которых является поиск уязвимостей в программном обеспечении. Они хорошо мотивируют отдельных разработчиков и группы хакеров не просто искать недостатки, а описывать всё в мельчайших деталях, вместо использования уязвимостей со злым умыслом или перепродажи злоумышленникам.
С момента запуска в 2010 году программа Google по выплате вознаграждений за найденные уязвимости постоянно росла: увеличивались выплаты и количество исправленных ошибок. В ответ на возрастающий интерес к программе Google снова и снова расширяла ее, добавляя новые продукты и увеличивая суммы выплат.
Так, в январе 2015 года программа расширила свой ареал на мобильные приложения Google для Android и iOS. Кроме того, Google начала выплачивать гранты специалистам по безопасности (авансовые выплаты еще до момента обнаружения уязвимости). Из недавних примеров можно вспомнить исследователя по безопасности Камиля Хисматуллина, который обнаружил ошибку в YouTube Creator Studio уже после получения гранта. Злоумышленники могли использовать данную уязвимость для удаления любого видео YouTube, просто меняя параметр URL. После устранения уязвимости Хисматуллин получил еще $5 тыс дополнительно.
В июне 2015 Google начала выплачивать вознаграждения за уязвимости, найденные в Android. К концу прошлого года выплаты исследователям по этой «статье» превысили $200 тыс. При этом самый большой единичный платёж составил $37,5 тыс.
Напоследок остается отметить, что не только Facebook, Google и Microsoft готовы платить за найденные уязвимости, более мелкие компании тоже преуспели в этом направлении.
Источник: venturebeat
This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.