Хакер #305. Многошаговые SQL-инъекции
С момента запуска bug bounty программы Google прошло уже 9 лет, и за это время компания получила более 8500 сообщений об ошибках, а исследователям выплатили более 5 000 000 долларов.
Учитывая, что программа вознаграждений за уязвимости показала себя более чем эффективной, Google сообщила, что было принято решение увеличить размер вознаграждений.
Теперь сумма базового максимального вознаграждения за уязвимости в Chrome утроилась и будет равняться 15 000 долларов (ранее 5000), а верхняя планка теперь составляет 30 000 долларов. Это вдвое больше, чем ранее.
В случае с Chrome OS, цепочка эксплоитов, которая приведет к полной компрометации устройств Chromebook или Chromebox, теперь может принести специалистам до 150 000 долларов (ранее 100 000 долларов).
Выплаты, предлагаемые в рамках bug bounty программы Google Play, также увеличились. Теперь ИБ-эксперты могут получить до 20 000 долларов за RCE-уязвимости и 3000 долларов за кражу личных данных или несанкционированный доступ к защищенным компонентам. Напомню, что данная bug bounty инициатива охватывает приложения для Android, созданные Google и другими крупными компаниями, а ее целью является повышение безопасности экосистемы Google Play.