На этой неделе инженеры компании Google Эрик Браун (Eric Brown) и Марк Хенсон (Marc Henson) рассказали, что официальная программа вознаграждения за обнаружение уязвимостей в очередной раз расширяется.
В блоге компании специалисты напомнили, что начиная с момента старта bug bounty в 2010 году компания выплатила исследователям уже более 12 млн долларов. Однако все эти годы Google не поощряла финансово специалистов, которые помогали бороться с потенциальным злоупотреблением.
Под это определение попадают баги, при помощи которых, к примеру, можно массово обмануть систему восстановления учетных записей; устроить брутфорс-атаку; обойти ограничения, наложенные на распространение и использование какого-то контента; или приобрести продукты Google, не заплатив. Фактически, речь идет об обмане систем, которые защищают от различного фрода и спама.
Представители компании сообщают, что теперь Google готова платить за такие уязвимости до 5000 долларов, если проблема действительно серьезная.
Разработчики предупреждают, что рассмотрение таких баг-репортов может занимать довольно продолжительное время. Дело в том, что специалистам компании понадобится понять, как сработает настоящая атака, эксплуатирующая найденный баг, оценить степень ее вероятности и опасности, а также понять, какая мотивация должна двигать потенциальными нарушителями. К примеру, уязвимость, позволяющая массово манипулировать рейтингами в Google Maps, путем добавления фальшивых отзывов, определенно достойна денежного вознаграждения.