Η Google πλήρωσε μέχρι τώρα στους ερευνητές ασφαλείας 15 εκατ. δολάρια σε bug bounties

Η Google πλήρωσε μέχρι τώρα στους ερευνητές ασφαλείας 15 εκατ. δολάρια σε bug bounties

Η Google ανακοίνωσε σήμερα ότι έχει καταβάλει πάνω από 15 εκατομμύρια δολάρια από την έναρξη του προγράμματος bug bounty το Νοέμβριο που ξεκίνησε το 2010. Μόνο κατά το παρελθόν έτος, η εταιρεία διέθεσε 3,4 εκατομμύρια δολάρια σε 317 διαφορετικούς ερευνητές ασφαλείας, ελαφρώς υψηλότερο από τα 2,9 εκατομμύρια δολάρια που έδωσε σε 274 ερευνητές το 2017.

Η Google κατέβαλε το μισό των ανταμοιβών του περασμένου έτους – 1,7 εκατομμύρια δολάρια – σε ερευνητές που εντόπισαν προβλήματα ή τρωτά σημεία στο Android και στο Chrome.

Τα προγράμματα Bug Bounty αποτελούν ένα μεγάλο συμπλήρωμα στα υπάρχοντα προγράμματα εσωτερικής ασφάλειας της Google, διότι αναμφισβήτητα παρακινούν αρκετό εξειδικευμένο κόσμο στον τομέα της ασφάλειας στο διαδίκτυο και πολλούς ηθικούς χάκερς όχι μόνο να βρουν τα ελαττώματα, αλλά και να αποκαλύψουν τη λύση ούτως ώστε να εξαλειφθούν.

Εάν πιστεύετε πως αυτά τα ποσά είναι δυσθεώρητα, τότε μάλλον πέφτετε αρκετά έξω στην εκτίμησή σας, επειδή ετούτη η επιβράβευση των ερευνητών ασφαλείας είναι ουσιαστικά ψυχούλα σε σύγκριση με τα χρήματα που θα έδινε η Google σε μία εξειδικευμένη υπηρεσία για τον εντοπισμό ευάλωτων σημείων στην πλατφόρμα της.

Συγκεκριμένα οι ανταμοιβές για τον εντοπισμό τρωτών σημείων ή προβλημάτων κυμαίνονται από 100 έως 200.000 δολάρια ανά περίπτωση, και αυτό φυσικά εξαρτάται από το επίπεδο της σημαντικότητας που ενέχει η εκάστοτε ανακάλυψη. Ωστόσο, η μεγαλύτερη ανταμοιβή που έδωσε το 2018 ήταν 41.000 δολάρια, δηλαδή εξευτελιστικά ποσά για την σπουδαιότητα του εγχειρήματος, αφού σε περίπτωση που στεφθεί με επιτυχία μία επίθεση από τους κυβερνοεγκληματίες, το κόστος της ζημιάς μπορεί φτάσει σε δεκάδες εκατομμύρια δολάρια.

Η Google μοιράστηκε επίσης τρία ιστορικά στοιχεία σχετικά με το πρόγραμμα bug bounties για ευπάθειες που ανακαλύφθηκαν το 2018:

  • Ο Tomasz Bojarski από την Πολωνία ανακάλυψε ένα σφάλμα που σχετίζεται με το cross-site scripting (XSS), ένα είδος σφάλματος ασφαλείας που επιτρέπει σε έναν εισβολέα να αλλάξει τη συμπεριφορά ή την εμφάνιση ενός ιστότοπου, να κλέψει ιδιωτικά δεδομένα ή να εκτελέσει ενέργειες για λογαριασμό του χρήστη. Ο Tomasz ήταν ο κορυφαίος κυνηγός σφάλματος και χρησιμοποίησε τα χρήματά του για να ανοίξει ένα εστιατόριο.
  • Ο Ezequiel Pereira, 19χρονος ερευνητής από την Ουρουγουάη, αποκάλυψε ένα σφάλμα εκτέλεσης απομακρυσμένου κώδικα (RCE), το οποίο του επέτρεψε να αποκτήσει απομακρυσμένη πρόσβαση στην κονσόλα της πλατφόρμας Google Cloud Platform.
  • Ο Dzmitry Lukyanenka, ερευνητής από το Μινσκ της Λευκορωσίας, ανταμείφθηκε με 1.337 δολάρια για την ανεύρεση πολλαπλών σφαλμάτων. Μάλιστα η ιστορία του είναι λίγο περίεργη, γιατί μπήκε σε αυτό το παιχνίδι, αφού έχασε τη δουλειά του, και αποφάσισε να αφιερώσει όλο του το χρόνο στο κυνήγι των σφαλμάτων.