Google调整漏洞奖励计划,单个漏洞最高奖励7,500美元
jopen 11年前
对那些在研究 Google 众多产品漏洞的朋友(抓虫人)来说,有一个好消息,Google 已调整其漏洞奖励计划,现在更能吸引安全研究人员去抓虫了。
将近有三年历史的 Google 漏洞奖励计划现在终于有调整了。现在开始,抓虫人
- ① 在 https://accounts.google.com 发现一个跨站点脚本漏洞(XSS),可拿到 7,500 美元,以前是 3,133.70 美元;
- ② 在 Gmail 和 Google Wallet 上发现 XSS 或其他漏洞,可拿到 7,500 美元,之前是 1,337 美元;
- ③ 在其他 Google 站点上的发现一个 Bug,可拿到 3,114.70 美元,以前是 500 美元;
- ④ 发现绕过认证和信息泄露的“重大”漏洞,可拿到 7,500 美元,以前平均是 5,000 美元。
为什么要给抓虫人提高奖励?Google 安全团队成员 Adam Mein 和 Michal Zalewski 在一篇博文说过,“提高奖励,应当能发现 Google 产品那些难度较高的 Bug。”
自从 2010 年 11 月开始,Google 已通过漏洞奖励计划向 250 多名安全研究人员支付超过 828,000 美元。其中有些研究人员还把奖金捐赠给福利事业。“我们的漏洞奖励计划已非常成功,在帮助我们修复更多漏洞和更好地保护用户方面已有显著效果,当然也加强 了我们和安全研究人员之间的关系,” Google 安全团队如是说。
在提高发现漏洞的奖励之前,Google 正好在 5 月末宣布了一条更积极的披露政策,如果 Google 自家安全研究人员在其他厂商的软件由“零日”漏洞,并且厂商在七天内容没有提供对应咨询或补丁,那 Google 允许自家安全研究人员披露“零日”漏洞细节。披露政策中的这一变化,旨在给其他厂商施压,督促其更快修复漏洞。
Google 的安全研究人员 5 月份在一篇博文中披露了一起利用零日漏洞攻击厂商(名字未透露)的事件。“我们最近发现,趁未修复漏洞,有攻击者在瞄准了某家厂商的软件。这并不是独立事件。发现类似事情,我们通常立即向受影响的厂商通报,并且和他们密切合作,来推动解决问题。”
来自: blog.jobbole.com