Megemelték a jófej hekkerek nyomravezetői díját, de még így is töredékét fizetik annak, amit az internet sötétebb oldalán.
Lehet meglepő, de a Google már 2010 óta fizet embereknek azért, hogy meghekkeljék a szoftvereiket. Az elmúlt 9 évben összesen már
több mint 5 millió dollárt, azaz közel 1,5 milliárd forintot utalt át azoknak, akik fel tudták törni a rendszereiket vagy hibát találtak a programkódban, és erről részletes riportot küldött a cégnek.
Például a böngésző sérülékenységeit felkutatóknak a Chrome Vulnerability Rewards Program keretében már 8 500 nyomravezetőnek fizettek.
A Google kiberbiztonsági blogján a Chrome csapata most bejelentette, hogy megemelik a sikerdíjakat – szúrta ki az amerikai Forbes. A bejegyzés szerint a legmagasabb, egy embernek kifizethető díjat 150 ezer dollárra emelték, de a többi, a felfedezett sérülékenység típusától függő díjat is megduplázta vagy megtriplázta. A maximum díjakért elvárás a jó minőségű riport, részletesen szabályozza a cég, mit vár el ebben: egy elemzést, ami segít felderíteni a probléma gyökerét, egy minimális teszt, ami bizonyítja, hogyan használható ki a sérülékenység. Aki beéri a minimummal, annak elég egy tesztesetet elküldenie.
Így néz ki az új sikerdíjtábla:
- a Chrome böngésző esetében a jó minőségű riportokért maximum 30 ezer, minimum 15 ezer dollár jár
- a Chrome operációs rendszer esetében 150 ezer dollár a csúcs, ha valaki olyan rést talál, amivel egy Chromebookot fel tud törni
- a Google Play a HackerOne-nal indított közös programot, ebben 20 ezer dollár jár annak, aki a népszerű androidos appokban talál hibát
De elég csábító ez a feketepiachoz képest?
Az amerikai Forbes külsős szerzője megkérte a HackerOne platform IT-biztonsági mérnökét, Laurie Mercert, hogy helyezze el ezek a megemelt díjakat a piacon. Szerinte az operációs rendszer feltöréséért járó díj az egyik legmagasabb a piacon, ráadásul az egyik legnagyobb presztízzsel jár: akinek elfogadja a cég a riportját, bekerül a Google hírességek csarnokába, a hírhedt 0x0A listára.
Ugyanakkor ezt a képet árnyalja, hogy a Zerodium IT-biztonságtechnikai cég, ami ehhez hasonló szoftverhiba-felfedezések felvásárlására specializálódott, jóval nagyobb díjat is kínálhat egy nullanapos, be nem jelentett biztonsági résért.
Annak, aki távolról feltör egy Chrome-ot és átveszi az irányítást, 500 ezer dolláros díjat kínálnak.
A fekete- és szürkepiacon akár még ennél is magasabb összegek repkedhetnek az aukciókon, ahol nem ritkán államok is beszállnak a licitbe. Igaz, a kockázatok is magasabbak: nem számíthatnak jogi védelemre a felderítők, nincs garancia a névtelenségükre és a fizetésre sem, valamint tiltólistára kerülhetnek a szakmai konferenciákon.
