Google повышает вознаграждение за баги до $20 000

Компания Google объявила о повышении оплаты за баги в своих продуктах сразу в несколько раз — с $3133,7 до $20 тыс. Это может существенно повысить заработок специалистов, которые занимаются поиском уязвимостей.

Программа финансовых выплат Vulnerability Reward Program действует с ноября 2010 года. Вознаграждение можно получить за уязвимости в любом продукте Google: это браузеры Chrome и Chromium, а также все веб-сервисы на доменах *.google.com, *.youtube.com, *.blogger.com и *.orkut.com.

Первоначально сумма вознаграждения за каждый баг составляла $500, а серьёзные уязвимости оценивались в $1337. В июле 2011 года сумма вознаграждения за самые опасные дыры была увеличена до $3133,7, но за остальные осталась $500. Нынешнее повышение цен — самое существенное. Новый прайс-лист опубликован ниже.

​

Максимальную награду $20 тысяч можно получить, если обнаружить возможность удалённого исполнения кода в любом приложении Google, кроме «низкоприоритетных». Вдвое меньшую сумму выплачивают за SQL-инъекцию или эквивалент на любом существенном сервисе Google, а также за существенный баг с обходом процедуры аутентификации или утечкой информации на accounts.google.com.

К первой категории важности относятся accounts.google.com, а также Google Search (google.com) Google Wallet (wallet.google.com), Google Mail (mail.google.com), Google Code Hosting (code.google.com) и Google Play (play.google.com). Дешевле всего оплачиваются уязвимости в приобретённых продуктах, недостаточно интегрированных продуктах и других «сайтах низкой важности» (например, Google Art Project и ему подобные). Вознаграждение за баги в приобретённых продуктах выплачиваются только после истечения шестимесячного срока с момента их приобретения.

По итогам первого с лишним года действия программы было получено 1100 сообщений об уязвимостях разной важности от более 200 человек. Из этого числа 730 уязвимостей были оплачены на общую сумму около $410 тыс. К настоящему моменту сумма выплат уже превысила $460 тыс., а с новыми тарифами она будет расти гораздо быстрее.

Дата: 24.04.2012
http://www.xakep.ru/post/58602/​

 

Интересно, сколько такая уязвимость будет стоить на черном рынке...

 

Google расширил программу по выплате вознаграждений за выявление уязвимостей

Компания Google объявила о расширении программы по выплате денежных вознаграждений за выявление уязвимостей в своих сервисах, web-приложениях и проектах.

По сравнению с ранее действующими типами вознаграждения, введены три дополнительные категории:

- 20 тысяч долларов за выявление уязвимости, приводящей к выполнению кода на системах Google;
- 10 тысяч долларов за обнаружение возможности подстановки SQL-кода или нахождение уязвимостей, которые могут привести к утечке информации, обходу механизмов аутентификации и авторизации;
- до 3133.7 долларов за XSS, XSRF и другие подобные уязвимости.

Величина вознаграждения варьируется от важности сервиса и источника кода. Например, награда максимальна для собственных разработок Google и минимальна для разработок, полученных в результате покупки других компаний и ещё не интегрированных в инфраструктуру Google.

Сообщается, что за время существования программы получено 780 отчётов об уязвимостях, затрагивающих как сотни собственных разработок Google, так и продукты, изначально созданные примерно 50 компаниями, поглощёнными Google. За немногим больше года около 200 участникам программы выплачено 460 тысяч долларов.

24.04.2012
http://www.opennet.ru/opennews/art.shtml?num=33670​

 

скуль на гугле за 10к? лол.

 

Черный рынок точно будет актуальней по продаже таких "товаров". Цены относительно низкие..

 

ну зато XSS стоит норм).

 

УРА! Я БОГАТ!