Компанія Google суттєво підвищила розмір винагород за виявлення вразливостей у своєму браузері Chrome. Тепер максимальна сума за одну критичну помилку сягає $250 000, що вдвічі перевищує попередній ліміт. Це рішення покликане стимулювати дослідників кібербезпеки до більш ретельного аналізу потенційних загроз та подання якісніших звітів.
Нова система оцінки вразливостей
Google запровадила оновлену методику оцінки виявлених вразливостей, зосередившись на якості звітів та глибині дослідження наслідків знайдених проблем. Зокрема, особлива увага приділяється вразливостям, пов’язаним із пошкодженням пам’яті (memory corruption).
Градація винагород за типами вразливостей
Базові звіти, що демонструють пошкодження пам’яті в Chrome з трасуванням стека та proof-of-concept, можуть принести досліднику до $25 000. Натомість, більш ґрунтовні звіти з демонстрацією можливості віддаленого виконання коду (Remote Code Execution, RCE) та працюючим експлойтом оцінюватимуться значно вище.
Максимальні винагороди за критичні вразливості
Найвищу винагороду в $250 000 можна отримати за демонстрацію RCE в процесі поза пісочницею Chrome. Якщо RCE можливо досягти без компрометації рендерера, сума винагороди збільшується, включаючи додаткову виплату за RCE рендерера. Також Google більш ніж удвічі підвищила винагороду за обхід механізму MiraclePtr – до $250 128 (раніше $100 115).
Розширення програми Bug Bounty
Компанія готова виплачувати винагороди за повідомлення про інші класи вразливостей, залежно від їх рівня, впливу та потенційної шкоди для користувачів Chrome. Всі звіти, як і раніше, мають право на бонусну винагороду за умови відповідності необхідним вимогам.
Фокус на якості та практичній значущості
Емі Ресслер, інженер з безпеки Chrome, підкреслює: “Звіти, які недостатньо переконливо демонструють наслідки для безпеки або потенційну шкоду для користувачів, або є суто теоретичними та спекулятивними, навряд чи отримають право на винагороду в рамках програми VRP”.
Досягнення програми Bug Bounty від Google
З моменту запуску програми винагород за виявлені вразливості в 2010 році, Google виплатила понад $50 млн дослідникам кібербезпеки, які знайшли більше 15 000 вразливостей. Це свідчить про ефективність такого підходу у підвищенні безпеки продуктів компанії.
Підвищення винагород за виявлення вразливостей у Chrome демонструє серйозний підхід Google до кібербезпеки та готовність інвестувати значні кошти у захист користувачів. Це також створює потужний стимул для дослідників продовжувати пошук та повідомлення про потенційні загрози, що в кінцевому підсумку сприяє підвищенню загального рівня безпеки інтернету.