對那些在研究 Google 眾多產品漏洞的朋友(抓蟲人)來說,有一個好訊息,Google 已調整其漏洞獎勵計劃,現在更能吸引安全研究人員去抓蟲了。
將近有三年曆史的 Google 漏洞獎勵計劃現在終於有調整了。現在開始,抓蟲人
- ① 在 https://accounts.google.com 發現一個跨站點指令碼漏洞(XSS),可拿到 7,500 美元,以前是 3,133.70 美元;
- ② 在 Gmail 和 Google Wallet 上發現 XSS 或其他漏洞,可拿到 7,500 美元,之前是 1,337 美元;
- ③ 在其他 Google 站點上的發現一個 Bug,可拿到 3,114.70 美元,以前是 500 美元;
- ④ 發現繞過認證和資訊洩露的“重大”漏洞,可拿到 7,500 美元,以前平均是 5,000 美元。
為什麼要給抓蟲人提高獎勵?Google安全團隊成員 Adam Mein 和 Michal Zalewski 在一篇博文說過,“提高獎勵,應當能發現Google產品那些難度較高的Bug。”
自從 2010 年 11 月開始,Google 已通過漏洞獎勵計劃向 250 多名安全研究人員支付超過 828,000 美元。其中有些研究人員還把獎金捐贈給福利事業。“我們的漏洞獎勵計劃已非常成功,在幫助我們修復更多漏洞和更好地保護使用者方面已有顯著效果,當然也加強了我們和安全研究人員之間的關係,” Google 安全團隊如是說。
在提高發現漏洞的獎勵之前,Google 正好在5月末宣佈了一條更積極的披露政策,如果Google自家安全研究人員在其他廠商的軟體中發現“零日”漏洞,並且廠商在七天內容沒有提供對應諮詢或補丁,那Google允許自家安全研究人員披露“零日”漏洞細節。披露政策中的這一變化,旨在給其他廠商施壓,督促其更快修復漏洞。
Google的安全研究人員5月份在一篇博文中披露了一起利用零日漏洞攻擊廠商(名字未透露)的事件。“我們最近發現,趁未修復漏洞,有攻擊者在瞄準了某家廠商的軟體。這並不是獨立事件。發現類似事情,我們通常立即向受影響的廠商通報,並且和他們密切合作,來推動解決問題。”
打賞支援我翻譯更多好文章,謝謝!
打賞譯者
打賞支援我翻譯更多好文章,謝謝!
任選一種支付方式
