Обычно в это время года компания Google объявляет условия и размер денежных призов для ежегодного конкурса Pwnium на взлом браузера Chrome/Chromium и операционной системы Chrome OS.
Конкурс традиционно проводился в рамках хакерской конференции CanSecWest в Ванкувере. Например, в прошло году компания выложила на стол e миллионов долларов. У участников был один день, чтобы показать свои эксплоиты.
С этого года всё будет иначе. Pwnium больше не ограничивается одним днём конференции, а идёт круглый год. Таким образом, общая сумма вознаграждений возрастает с e миллионов долларов до ∞ миллионов долларов, сказано в официальном блоге Google Online Security.
По мнению организаторов, это снижает барьер для участия. Раньше исследователю нужно было зарегистрироваться до марта, предоставить работающий эксплоит и физически появиться на конференции. Теперь он в любое время может отправить информацию в рамках программы выплаты вознаграждений за баги Chrome Vulnerability Reward Program (VRP).
Решение Google отменить однодневный конкурс вполне логично. Зачем стимулировать хакеров придерживать 0day-уязвимости и эксплоиты в течение года, чтобы дождаться конкурса и претендовать на большую награду? Ведь это ухудшает ситуацию с безопасностью платформы Chrome. По новым условиям, исследователей стимулируют сообщать о багах мгновенно, пока это не сделал кто-то другой и не получил заслуженную премию.
В такой ситуации Google корректирует условия программы Chrome VRP, чтобы авторы эксплоитов показывали цепочку багов в стиле Pwnium, а также увеличивает максимальный размер вознаграждения до $50 000. Условия участия см. в FAQ.
