Come ricevere i premi di Google se si notano errori nei suoi servizi

Google ha un'iniziativa che cerca di migliorare la sicurezza dei suoi servizi con l'aiuto della comunità. Questo è il Vulnerability Reward Program (VRP), che invita i ricercatori di sicurezza a segnalare bug nei loro sistemi, con l'obiettivo di renderli più sicuri.

L'azienda paga questi specialisti per il tempo e gli sforzi che dedicano a questo compito.

La società ha recentemente riferito che è stato investito un record di 8.700.000 dollari. La cifra rappresenta un balzo significativo rispetto ai 6,7 milioni di dollari investiti lo scorso anno.

A sua volta, la società ha menzionato sul suo blog che i ricercatori premiati hanno donato più di 300.000 dollari dei loro premi a enti di beneficenza di loro scelta.

Che tipo di incidenti possono essere segnalati e come segnalarli

In linea di principio, qualsiasi servizio web di proprietà di Google o di una consociata di Alphabet (Bet) che gestisce dati utente ragionevolmente sensibili rientra nell'ambito del programma VRP.

Ciò include bug in Google Cloud Platform, applicazioni ed estensioni sviluppate da Google e Verily Life Sciences (pubblicate su Google Play, Apple App Store o Chrome Web Store), nonché alcuni componenti hardware dispositivi dell'azienda come Home, OnHub o Nest, tra gli altri. Coloro che trovano errori e vogliono segnalarli devono inserire questo modulo.

Vulnerabilità in Android

All'interno del programma per segnalare vulnerabilità, ce n'è uno destinato a segnalare bug all'interno dell'ecosistema Android, uno dei più popolari e interessanti poiché il sistema operativo mobile è uno dei più utilizzati al mondo.

Ecco ricompense che arrivano fino a un milione di dollari, come quelle vulnerabilità legate all'esecuzione di codice in Pixel Titan M.

Gli importi delle ricompense variano a seconda della gravità dell'errore e del tipo di rapporto presentato al momento dell'identificazione.

Valori più alti vengono pagati per i report completi che includono un proof of concept di alta qualità riprodotto su una versione recente di Android. Per segnalare incidenti all'interno dell'ecosistema Android e per ottenere maggiori dettagli tecnici su di essi, inserisci qui.

Va notato che secondo l'ultima dichiarazione rilasciata da Google, le spese totali per Android sono raddoppiate nel 2021: quasi 3 milioni di dollari in premi, il cui pagamento più alto è stato di $157.000 - il più grande della sua storia - sono stati pagati ai ricercatori che hanno avvertito la catena di sfruttamento critico CVE-2021-39698.

Programma borse di studio

D'altra parte, i ricercatori possono anche far parte del programma di sovvenzioni sperimentali per la ricerca sulla vulnerabilità, un sistema di borse di studio rivolto a coloro che desiderano analizzare in dettaglio la sicurezza dei loro prodotti e servizi. Per iscriverti a questo programma devi entrare qui.

Gli importi delle sovvenzioni variano da $500 a 3.133,7$, a seconda del tipo di incidente segnalato. Sei anni dopo il lancio di questa iniziativa, Google ha assicurato che nel 2021 ha concesso più di $200.000 in sovvenzioni a più di 120 ricercatori di sicurezza in tutto il mondo.

Premi sulla sicurezza del chipset Android

Ha anche sottolineato che nel 2021 è stato lanciato un Android Chipset Security Rewards Program (ACSRP), un programma di ricompensa per le vulnerabilità offerto da Google in collaborazione con i produttori di questi componenti sviluppati da Android.

Si tratta di un progetto privato a cui le parti interessate possono partecipare solo su invito. In totale, l'ACSRP ha pagato più di $296.000 per più di 220 rapporti di sicurezza validi a questi ricercatori.

Da parte sua, Chrome VRP ha anche registrato numeri record, poiché 115 ricercatori di questo programma di vulnerabilità sono stati premiati da 333 segnalazioni uniche di bug di sicurezza.

Grande comunità di caccia

L'anno scorso, la società ha lanciato Google Bug Hunting Community, un portale di ricerca pubblico volto a mantenere i prodotti Google (Android, Chrome e Google Play) e Internet sicuri e protetti.

È una piattaforma che si apre con un unico modulo di sicurezza che consente agli utenti e ai ricercatori di segnalare errori di sicurezza e offre opportunità interattive attraverso giochi e classifiche nazionali, tra gli altri. Per far parte di questo programma devi entrare qui.

Coloro che sono interessati a rafforzare il loro apprendimento in questo senso possono accedere ai contenuti disponibili della Bughunter University, che include raccomandazioni e trucchi per rilevare questi problemi.

CONTINUA A LEGGERE: