Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

Google将抓漏奖金提高为最多5倍

Share

支付動態

2024-07-12

在漏洞奖励计划实施14年后,要找到操作系统与应用程序安全弱点的难度也随之增加,因此Google决定从产品重要性,以及研究人员提交的漏洞报告品质,来提高抓漏奖金额度

Google

Google本周宣布,自2010年创建抓漏奖励计划(Vulnerability Reward Program,VRP)以来,由于Google的操作系统与应用程序因此而变得愈来愈安全,也愈来愈不容易抓漏,因而决定提高抓漏奖金,最高增幅达到5倍,而奖金最多的则是重要产品的远程程序攻击(RCE)漏洞,最高可获得151,515美元

除了提高原本的抓漏奖金之外,Google还将针对报告的品质祭出修正系数,倘若报告品质非常卓越(Exceptional Quality),那么奖金额度将可乘以1.5,品质好(Good Quality)的是1倍,品质差(Low Quality)的是0.5倍。意谓着若提出安全漏洞的报告内容并未符合标准,奖金可能就会被砍半。

Google将安全漏洞依产品重要性,分为从Tier0(T0)到Tier4(T4)的5种等级,其中,T0指的是XSS或绕过身分验证等、得以外泄用户帐户或于用户系统上运行任意程序的安全漏洞,T1则是可揭露非常敏感之用户数据的安全漏洞,而原本奖金最高的即是属于T0/T1领域的命令注射、反串行化错误及沙箱逃逸等可自远程运行程序的安全漏洞,价值31,337美元

在新的规则中,此一T0/T1领域的远程运行程序漏洞奖金提高至101,010美元,若所提交的报告达到卓越品质,奖金即上看151,515美元,接近原本的5倍。

此外,可接管Gmail帐户的逻辑漏洞原本价值13,337美元,现在则提高到5万美元,卓越报告可增至7.5万美元;网络开发工作区IDX上的XSS漏洞奖金,也自原本的3,133.7美元提高至1万美元,卓越报告则是1.5万美元;Nest服务(home.nest.com)的身分揭露逻辑漏洞奖金,也从500美元提高至2,500美元,若属于卓越报告则达3,570美元。

Google说,其实过去他们内部就有根据漏洞报告的品质来衡量奖金,只是现在将它们公开,并公布了漏洞与奖金的计算例子,以供安全研究人员参考,进一步透明化此一抓漏奖励计划。另也针对收购6个月之后的新资产导入新的奖励等级。

近年来Google每年都颁发数百万至上千万的奖金予参与VRP的研究人员,2023年总计发出1,000万美元的奖金予68个国家的逾600名研究人员,当中有340万美元颁给了发现Android安全漏洞的研究人员,另有210万美元是奖励发现Chrome漏洞的研究人员。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+