:

Szerző: Hlács Ferenc

2019. február 11. 14:40

3,4 millió dollárt kaptak tavaly a Google bugvadászai

A program kezdete óta a keresőóriás több mint 15 millió dollárt osztott ki a sérülékenységeket lefülelő biztonsági szakértőknek.

Vaskos összegeket csengetett ki a bugvadászoknak a Google: a keresőóriás közzétette bug bounty programjának tavalyi statisztikáit, amelyekből kiderül, csak a 2018-as év során a vállalat több mint 3,4 millió dollárt osztott ki a szoftvereiben felbukkant biztonsági rések jelentőinek.  A Google még 2010-ben indította a Vulnerability Reward Programot, amellyel a biztonsági szakértőket, vagy akár a területtel hobbi szinten foglalkozókat igyekszik motiválni, hogy jelentsék számára a termékekben talált sebezhetőségeket. A frissen közzétett statisztikák szerint a vállalat a jutalomprogram rajtja óta összesen több mint 15 millió dollárral jutalmazta a biztonsági rések megtalálóit.

Jól látszik tehát, hogy 2018 kifejezetten termékeny év volt a Google termékeiben bugokat keresőknek: a cég 1319 egyedi jutalmat osztott ki 317 kutatónak, összesen 78 országban. A fentebb említett 3,4 milliós összesített jutalomból egyébként a vállalat annak felét, vagyis 1,7 millió dollárt kifejezetten az Android rendszerben és a Chrome böngészőben talált hibákért fizette ki.

googbounty

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A legnagyobb jutalom egyetlen hibáért tavaly derekas, 41 ezer dollár volt, amelyet egy lengyel biztonsági szakértő, Tomasz Bojarski zsebelhetett be egy XSS sebezhetőség jelentését követően, amellyel a potenciális támadók megváltoztathatták a kiszemelt weboldalak megjelenését, illetve személyes adatokat is megszerezhettek a látogatóktól - Bojarski a Google szerint éttermet nyitott a jutalomból.

A Google fő bug bounty programja mellett Vulnerabilityy Research Grants néven egy másik jutalomrendszert is vezet, amellyel a főállású bugvadászokat igyekszik segíteni, illetve azt az időt honorálni, amelyet a kutatók a termékei vizsgálatába öltek, végül akár hiba felfedezése nélkül. A programba a legjobban teljesítő szakértők kerülhetnek be, illetve időnként a Google meghívásos alapon is beválogat kutatókat. De a cég tavaly egy újabb párhuzamos jutalomrendszert is indított, a Security and Privacy Research Awards programot, amelynek keretében az IT biztonsági területen nagyot alkotó egyetemi kutatók munkáját ismeri el, egyetemüket pedig pénzjutalomban is részesíti. Idén az intézményeknek a vállalat összesen több mint félmillió dollárt osztott ki.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról