Google выплатила 3 миллиона долларов за обнаруженные уязвимости в 2016 году

от автора

в

Как известно, Google активно мотивирует сторонних исследователей в области безопасности информационных технологий на поиск и раскрытие информации об узявимостях в сервисах и операционных системах компании. 2016 год стал одним из самых щедрых на выплаты: Google потратила на вознаграждения $3 миллиона – треть от общей суммы в $9 миллионов, которая была выплачена участникам с момента запуска программы Vulnerability Rewards Program в 2010 году. На последнем этапе 350 участников получили индивидуальные гранты в размере $1 000, размер самого крупного вознаграждения составил $100 000. Кстати, в марте 2016 года Google удвоила приз за взлом Chrome OS с $50 000 до $100 000, однако он так и не нашёл своего обладателя.

Главной целью Google остаётся повышение безопасности мобильной операционной системы Android.

“Мы отметили удивительный вклад исследователей Android по всему миру менее чем через год после дебюта Android в программе VRP. Мы также расширили выплату грантов за повышение безопасности в продуктах OnHub и Nest. Мы увеличили наше присутствие на мероприятиях по всему миру, включая Pwn2Own и Pwnfest. Более подробное описание уязвимостей, представленных на этих мероприятиях, позволило нам быстро выпустить соответствующие исправления для экосистемы и обеспечить безопасность клиентам. Например, мы смогли закрыть уязвимость в Chrome через несколько дней после получения информации о ней,” – сказано в Google Security Blog.

Вот несколько примеров крупнейших выплат Google за обнаруженные уязвимости в 2016 году:

Томасц Боярски получил вознаграждение в размере $3 134 за обнаружение уязвимости на сайте events.google.com. По словам Боярски, он искал эксплойты Google целых три года для собственного развлечения. И, возможно, славы.

Две выплаты в размере $5 000 и $7 500 за обнаружение уязвимости в JavaScript на странице восстановления аккаунта Google.
Уязвимость однобайтового переполнения библиотеки DNS в Chrome OS, детально описанная в блоге Project Zero.

В ежегодном отчете сказано, что число исследователей безопасности из Индии переживает большой скачок. Один из постоянных участников программы выплат за обнаруженные уязвимости сумел таким образом даже проспонсировать собственный стартап.


Комментарии

Добавить комментарий

Больше на ITMSFT Group

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Читать дальше