Компания Google утроила максимальную награду за найденные уязвимости в разработанном ею ПО до $15 000. Таким образом руководство корпорации надеется удержать независимых специалистов безопасности от продажи информации на «черном» рынке, пишет SecurityLab.
Как сообщалось ранее, размер вознаграждения за найденные уязвимости варьировался от $500 до $5000. Однако сейчас становится все труднее обнаружить бреши в таких программных продуктах как Chrome, поэтому руководство Google приняло решение увеличить размер выплачиваемой суммы в качестве вознаграждения за дополнительные усилия.
Подобные программы оказались довольно эффективными для крупных web-компаний, в том числе Google и Facebook, которые таким образом получают результат, не прибегая к найму большего количества специалистов по безопасности.
Однако и здесь присутствуют свои подводные камни, поскольку у независимых специалистов есть немало возможностей продать уязвимости злоумышленникам, воспользовавшись услугами профессиональных брокеров, таких как Vupen или Netragard.
Аналитик команды Chrome Security Team Тим Уиллис (Tim Willis) в блоге компании отметил: «Мы понимаем, что сумма нашего вознаграждения может быть неадекватна возможным альтернативам, но мы предлагаем публичное признание ваших навыков и возможность открыто обсудить проделанную работу… Кроме того, вы можете быть уверены, что найденные вами уязвимости не будут использованы сомнительными людьми в неизвестных целях».
Также вознаграждение могут получить и специалисты, создавшие рабочий эксплоит. Для этого им сначала необходимо будет предоставить отчет об уязвимости, а затем уже и эксплойт.