So erhalten Sie Google-Belohnungen, wenn in seinen Diensten Fehler festgestellt werden

Google hat eine Initiative, die darauf abzielt, die Sicherheit seiner Dienste mithilfe der Community zu verbessern. Dies ist das Vulnerability Reward Program (VRP), das Sicherheitsforscher auffordert, Fehler in ihren Systemen zu melden. mit dem Ziel, sie sicherer zu machen.

Das Unternehmen bezahlt diese Spezialisten für die Zeit und Mühe, die sie für diese Aufgabe aufwenden.

Das Unternehmen berichtete kürzlich, dass ein Rekordwert von 8.700.000 US-Dollar investiert wurde. Die Zahl stellt einen deutlichen Sprung gegenüber den im letzten Jahr investierten 6,7 Millionen $ dar.

Im Gegenzug erwähnte das Unternehmen in seinem Blog, dass die preisgekrönten Forscher mehr als 300.000 US-Dollar ihrer Belohnungen an Wohltätigkeitsorganisationen ihrer Wahl gespendet haben.

Welche Art von Vorfällen kann gemeldet werden und wie werden sie gemeldet?

Grundsätzlich fällt jeder Webdienst von Google oder einer Tochtergesellschaft von Alphabet (Bet), der angemessen sensible Benutzerdaten verarbeitet, in den Geltungsbereich des VRP-Programms.

Dazu gehören Fehler in der Google Cloud Platform, Anwendungen und Erweiterungen, die von Google und Verily Life Sciences (veröffentlicht in Google Play, Apple App Store oder Chrome Web Store) entwickelt wurden, sowie einige der Hardware Geräte im Unternehmen wie Home, OnHub oder Nest, unter anderem. Wer Fehler findet und diese melden möchte, sollte dieses Formular ausfüllen.

Sicherheitslücken in Android

Innerhalb des Programms zur Meldung von Schwachstellen sollen Fehler im Android-Ökosystem gemeldet werden. Dies ist eines der beliebtesten und interessantesten, da das mobile Betriebssystem eines der am häufigsten verwendeten der Welt ist.

Hier sind Belohnungen in Höhe von bis zu einer Million Dollar, z. B. die Schwachstellen im Zusammenhang mit der Codeausführung im Pixel Titan M.

Die Prämienbeträge variieren je nach Schweregrad des Fehlers sowie der Art des Berichts, der bei der Identifizierung angezeigt wird.

Höhere Werte werden für vollständige Berichte bezahlt, die einen hochwertigen Proof of Concept enthalten, der auf einer aktuellen Version von Android abgespielt wird. Um Vorfälle innerhalb des Android-Ökosystems zu melden und weitere technische Details zu ihnen zu erhalten, geben Sie bitte hier ein.

Es sei darauf hingewiesen, dass sich laut der jüngsten von Google veröffentlichten Erklärung die Gesamtausgaben für Android im Jahr 2021 verdoppelt haben: Fast 3 Millionen US-Dollar an Belohnungen, deren höchste Zahlung 157.000 US-Dollar betrug - die größte in ihrer Geschichte - wurden an Forscher gezahlt, die die kritische Ausbeutungskette CVE-2021-39698 warnten.

Stipendienprogramm

Auf der anderen Seite können Forscher auch am experimentellen Stipendienprogramm für Vulnerabilitätsforschung teilnehmen, einem Stipendiensystem, das sich an diejenigen richtet, die die Sicherheit ihrer Produkte und Dienstleistungen im Detail analysieren möchten. Um sich für dieses Programm anzumelden, müssen Sie hier teilnehmen.

Die Zuschussbeträge liegen je nach Art des gemeldeten Vorfalls zwischen 500 und 3.133,7 USD. Sechs Jahre nach dem Start dieser Initiative versicherte Google, dass es 2021 mehr als 120 Sicherheitsforschern auf der ganzen Welt Zuschüsse in Höhe von mehr als 200.000 USD gewährte.

Sicherheitsprämien für Android-Chipsätze

Er hob auch hervor, dass 2021 ein Android Chipset Security Rewards-Programm (ACSRP) gestartet wurde, ein Programm zur Belohnung von Sicherheitslücken, das von Google in Zusammenarbeit mit den Herstellern dieser von Android entwickelten Komponenten angeboten wird.

Dies ist ein privates Projekt, an dem Interessenten nur auf Einladung teilnehmen können. Insgesamt zahlte das ACSRP mehr als 296.000 US-Dollar für mehr als 220 gültige Sicherheitsberichte an diese Forscher.

Chrome VRP hat seinerseits auch Rekordzahlen verzeichnet, da 115 Forscher dieses Schwachstellenprogramms mit 333 einzigartigen Berichten über Sicherheitslücken belohnt wurden.

Große Jagdgemeinschaft

Im vergangenen Jahr startete das Unternehmen die Google Bug Hunting Community, ein öffentliches Forschungsportal, das darauf abzielt, Google-Produkte (Android, Chrome und Google Play) und das Internet sicher zu halten.

Es handelt sich um eine Plattform, die mit einem einzigen Sicherheitsformular geöffnet wird, mit dem Benutzer und Forscher Sicherheitsfehler melden können, und bietet interaktive Möglichkeiten unter anderem über Spiele und Länderbestenlisten. Um Teil dieses Programms zu sein, müssen Sie hier teilnehmen.

Diejenigen, die daran interessiert sind, ihr Lernen in dieser Hinsicht zu stärken, können auf die verfügbaren Inhalte der Bughunter University zugreifen, die Empfehlungen und Tricks zur Erkennung dieser Probleme enthalten.

LESEN SIE WEITER: