Google aumenta le ricompense per i cacciatori di vulnerabilità

Google aumenta le ricompense per i cacciatori di vulnerabilità

Il colosso di Mountain View annuncia nuove ricompense nel contesto del programma Vulnerability Reward Program, destinato a coloro i quali scovano e comunicano vulnerabilità sui servizi gestiti da Google

di Andrea Bai pubblicata il 24 Aprile 2012, alle 15:21 nel canale Sicurezza
 

Google ha comunicato di aver aggiornato le regole e le ricompense del Vulnerability Reward Program, il programma lanciato nel corso del mese di novembre 2010 che premia gli utenti che scoprono e segnalano problemi di sicurezza inerenti a qualunque servizio web operato dal colosso di Mountain View.

Come si legge nel post sul blog ufficiale, il programma ha consentito a Google di ricevere oltre 780 report di vulnerabilità qualificate che interessano tutti i servizi di Google, sia quelli sviluppati internamente sia quelli realizzati da molte delle compagnie acquisite nel corso degli ultimi anni dalla grande G. Sin dal suo debutto Vulnerability Reward Program ha premiato circa 200 individui per un totale di 460 mila dollari.

Le nuove regole del programma prevedono ora una ricompensa di 20 mila dollari per vulnerabilità qualificate che il comitato di controllo determina possano consentire l'esecuzione di codice sui sistemi in produzione di Google, una ricompensa di 10 mila dollari per vulnerabilità di SQL injection e simili e per alcuni tipi di bug di autenticazione, di bypass di autorizzazione e di fuga di informazioni. Infine è previsto un premio fino a 3133,7 dollari per falle XSS, XSRF e altre falle ad alto impatto in applicazioni sensibili.

Google ha inoltre informato che le nuove regole offrono una serie di premi minori per le vulnerabilità scoperte per acquisizioni non integrate e per problemi a basso rischio. A tal proposito si legge nel post: "Sebbene qualsiasi falla necessiti di un'appropriata attenzione, offriremo una ricompensa più elevata per una vulnerabilità scripting cross-site in Google Wallet rispetto ad una in Google Art Project, dove il rischio potenziale per i dati degli utenti è signficativamente inferiore".

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tom Joad24 Aprile 2012, 15:59 #1
Ma il bug di sicurezza più grave di tutti, ovvero le password memorizzate in chiaro, quando lo correggono?
iorfader24 Aprile 2012, 16:51 #2
sono ridicoli, il premio è bassissimo
Opteranium24 Aprile 2012, 18:21 #3
Originariamente inviato da: iorfader
sono ridicoli, il premio è bassissimo

buon per te. Altri, magari meno facoltosi, saranno felici di riscuotere
Faster_Fox24 Aprile 2012, 19:14 #4
Originariamente inviato da: iorfader
sono ridicoli, il premio è bassissimo


non ho nessun termine di paragone (sarei felice di vederne qualcuno, senza polemica) ,ma ventimila dollari non sono pochi...poi non so te...
iorfader24 Aprile 2012, 19:33 #5
Originariamente inviato da: Faster_Fox
non ho nessun termine di paragone (sarei felice di vederne qualcuno, senza polemica) ,ma ventimila dollari non sono pochi...poi non so te...


no aspè io ho letto 3k dollari, 20k già è diverso
lonewo|_f24 Aprile 2012, 20:10 #6
Originariamente inviato da: iorfader
no aspè io ho letto 3k dollari, 20k già è diverso



alcune 20mila, altre 10mila, altre ancora eleet (3733.7) dollari, chiaramente cifra non scelta a caso :P

PS
leggendo sulla pagina dell'iniziativa si parte da 100 dollari per le cose di minore importanza
SuperMater24 Aprile 2012, 21:25 #7
Originariamente inviato da: iorfader
sono ridicoli, il premio è bassissimo


E' una tecnica squisita per l'individuazione e correzione di bug di una certa portata, risparmiando una barca di soldi.

Un po' come le gare che fanno per esempio a las vegas per violare un determinato software, dove come premio ricevi un pugno di dollari ed una nuova scheda video, lol

o come la nuova moda delle beta pubbliche
SuperMater24 Aprile 2012, 21:27 #8
doppio

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.