Компания Google подвела итоги первого года программы Bug Bounty, в рамках которой она платит за найденные баги в своих продуктах. Программа действует с ноября 2010 года и участвовать в ней может любой желающий, гонорар присылают чеком.
Первоначально сумма вознаграждения за каждый баг составляла $500, а серьёзные уязвимости оценивались в $1337. Странное, на первый взгляд, число 1337 — стилизация под интернет-жаргон письменной речи leet, особенно популярный среди хакеров. В этом стиле буквы заменяются цифрами, так что leet = 1337
.
Вознаграждение можно получить за нахождение уязвимости в любом продукте Google: это браузеры Chrome и Chromium, а также все сервисы на доменах *.google.com, *.youtube.com, *.blogger.com и *.orkut.com. Программа вознаграждений не действует только для клиентских приложений (Android, Picasa, Google Desktop и проч.), а всё остальное в неё включено, в том числе Gmail, Youtube и Google Docs. С сегодняшнего дня платят также за баги в Chrome OS.
На оплату могут претендовать все серьёзные баги, особенно
- XSS
- XSRF / CSRF
- XSSI (cross-site script inclusion)
- Обход авторизации (User A получает доступ к приватным данным User B)
- Исполнение кода на стороне сервера или внедрение кода
В июле 2011 года сумма вознаграждения за самые опасные дыры была увеличена до $3133,7 (eleet, «элитные» баги), за остальные осталась $500. К факторам, которые относят баг в разряд качественных, кроме непосредственной опасности и критического статуса уязвимости, теперь добавлены продуктивное обсуждение проблемы, качественный анализ причины, тщательное тестирование и т.д.
Сейчас, после более чем года действия программы и $410K выплаченных вознаграждений, компания Google считает программу очень успешной. За время её действия было получено 1100 сообщений об уязвимостях разной важности от более 200 человек. Из этого числа 730 уязвимостей были оплачены, а значительная часть денег от Google была отправлена в СНГ. Особенно стоит отметить Сергея Глазунова.
Компания Google не согласна с упрёками в дырявости своих продуктов: она говорит, что примерно половина найденных багов приходится на разработки полусотни компаний, которые она приобрела.