Google調整漏洞獎勵計劃,單個漏洞最高獎勵7,500美元
對那些在研究 Google 眾多產品漏洞的朋友(抓蟲人)來說,有一個好消息,Google 已調整其漏洞獎勵計劃,現在更能吸引安全研究人員去抓蟲了。
將近有三年歷史的 Google 漏洞獎勵計劃現在終于有調整了。現在開始,抓蟲人
- ① 在 https://accounts.google.com 發現一個跨站點腳本漏洞(XSS),可拿到 7,500 美元,以前是 3,133.70 美元;
- ② 在 Gmail 和 Google Wallet 上發現 XSS 或其他漏洞,可拿到 7,500 美元,之前是 1,337 美元;
- ③ 在其他 Google 站點上的發現一個 Bug,可拿到 3,114.70 美元,以前是 500 美元;
- ④ 發現繞過認證和信息泄露的“重大”漏洞,可拿到 7,500 美元,以前平均是 5,000 美元。 </ul>
為什么要給抓蟲人提高獎勵?Google 安全團隊成員 Adam Mein 和 Michal Zalewski 在一篇博文說過,“提高獎勵,應當能發現 Google 產品那些難度較高的 Bug。”
自從 2010 年 11 月開始,Google 已通過漏洞獎勵計劃向 250 多名安全研究人員支付超過 828,000 美元。其中有些研究人員還把獎金捐贈給福利事業。“我們的漏洞獎勵計劃已非常成功,在幫助我們修復更多漏洞和更好地保護用戶方面已有顯著效果,當然也加強 了我們和安全研究人員之間的關系,” Google 安全團隊如是說。
在提高發現漏洞的獎勵之前,Google 正好在 5 月末宣布了一條更積極的披露政策,如果 Google 自家安全研究人員在其他廠商的軟件由“零日”漏洞,并且廠商在七天內容沒有提供對應咨詢或補丁,那 Google 允許自家安全研究人員披露“零日”漏洞細節。披露政策中的這一變化,旨在給其他廠商施壓,督促其更快修復漏洞。
Google 的安全研究人員 5 月份在一篇博文中披露了一起利用零日漏洞攻擊廠商(名字未透露)的事件。“我們最近發現,趁未修復漏洞,有攻擊者在瞄準了某家廠商的軟件。這并不是獨立事件。發現類似事情,我們通常立即向受影響的廠商通報,并且和他們密切合作,來推動解決問題。”
來自: blog.jobbole.com
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!