:

Szerző: Dömös Zsuzsanna

2024. július 16. 14:30

Emel a Google: jóval több pénz jár a bugokért

Jelentősen megnöveli a keresőóriás a bug bounty programja keretén belül jelentett sérülékenységért járó jutalmakat, ami egyes esetekben az eddigi összeg ötszörösét is jelentheti.

A Google 2023-ban összesen 10 millió dollárt (kb. 3,6 milliárd forint) osztott szét a különböző termékeiben és szolgáltatásaiban megbújó sérülékenységek és hibák felfedéséért, ami ugyan valamivel kevesebb, mint a  2022-es bugvadász program során kifizetett 12 millió dollár, de stabil érdeklődést mutatott a Vulnerability Reward Program iránt. 

A programot még vonzóbbá teheti, hogy a keresőóriás pár napja bejelentette: tovább emeli a a rendszereiben és alkalmazásaiban talált hibák jelentéséért járó összegeket a Vulnerability Reward Programon keresztül, egyetlen biztonsági hiba akár már 151 515 dollár, azaz körülbelül 55 millió forint maximális jutalmat is érhet. A július 11 óta jelentett sebezhetőségeknél már az új díjszabást alkalmazza a cég a kifizetések megállapításakor, arra hivatkozva, hogy mostanra már még nehezebb lehet a bugok felderítése az évek során egyre biztonságosabbá vált szolgáltatásaiban.

Egyes kategóriákban akár ötszöröse járhat a régi jutalomnak a különböző típusú, illetve súlyú biztonsági hibáktól függően: a korábbi 13,337 dollár helyett már akár 75 ezer dollárt érhet egy olyan logikai hiba jelentése, ami @gmail.com-os fiók eltulajdonításához vezethet, de egy XSS sebezhetőség is érhet 15 ezer dollárt.

vulnera

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Google szervereit érintő kódinjekciós sebezhetőségért 101 ezer dollár járhat. A cég bevezeti plusz tényezőként a benyújtott dokumentáció minőségét is, ami ha hanyagabb a kelleténél, az összeg akár a felére csökkenhet, de a rendkívül alapos dokumentáció akár másfélszerezheti a kifizetés értékét.

A Vulnerability Reward Program (VRP) 2010-es elindítása óta a Google több mint 50 millió dollár jutalmat fizetett ki a biztonsági kutatóknak, több mint 15 000 sebezhetőség felderítéséért, 2022-ben érte el csúcsát a program, az akkori éves szinten kifizetett 12 millió dollárral.

Kik azok a bugvadászok és miért jó velük dolgozni? Mi motivál egy ilyen etikus hackert arra, hogy akár a teljes szabadidejét rászánja egy-egy sebezhetőség felkutatására? Nem csak a pénz, bár már itthon is volt rá példa, hogy valaki több tízmillió forintot kasszírozott egyetlen sérülékenység felfedezésével. A témát korábban Varjas Gáborral, a Hackrate szakértőjével jártuk körbe HWSW Weekly podcast adásunkban.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról