Nettó 8 óra, és menj haza játszani!

Csanády István szembe megy az árral. Van egy 30 fős startupja, amely most kapott 2 milliárd forint befektetést, nem is akárhonnan, hanem a Revolut és a Spotify egykori befektetőitől. Alkalmazásuk, […]

Bővebben

Paweł Czerwiński, Unsplash

Modern kincsvadászat: akár 40 millió forintot is fizet a Google, ha fel tudod törni a kódjukat

Megemelték a jófej hekkerek nyomravezetői díját, de még így is töredékét fizetik annak, amit az internet sötétebb oldalán.

Lehet meglepő, de a Google már 2010 óta fizet embereknek azért, hogy meghekkeljék a szoftvereiket. Az elmúlt 9 évben összesen már

több mint 5 millió dollárt, azaz közel 1,5 milliárd forintot utalt át azoknak, akik fel tudták törni a rendszereiket vagy hibát találtak a programkódban, és erről részletes riportot küldött a cégnek.

Például a böngésző sérülékenységeit felkutatóknak a Chrome Vulnerability Rewards Program keretében már 8 500 nyomravezetőnek fizettek.

A Google kiberbiztonsági blogján a Chrome csapata most bejelentette, hogy megemelik a sikerdíjakat – szúrta ki az amerikai Forbes. A bejegyzés szerint a legmagasabb, egy embernek kifizethető díjat 150 ezer dollárra emelték, de a többi, a felfedezett sérülékenység típusától függő díjat is megduplázta vagy megtriplázta. A maximum díjakért elvárás a jó minőségű riport, részletesen szabályozza a cég, mit vár el ebben: egy elemzést, ami segít felderíteni a probléma gyökerét, egy minimális teszt, ami bizonyítja, hogyan használható ki a sérülékenység. Aki beéri a minimummal, annak elég egy tesztesetet elküldenie.

Így néz ki az új sikerdíjtábla:

  • a Chrome böngésző esetében a jó minőségű riportokért maximum 30 ezer, minimum 15 ezer dollár jár
  • a Chrome operációs rendszer esetében 150 ezer dollár a csúcs, ha valaki olyan rést talál, amivel egy Chromebookot fel tud törni
  • a Google Play a HackerOne-nal indított közös programot, ebben 20 ezer dollár jár annak, aki a népszerű androidos appokban talál hibát

De elég csábító ez a feketepiachoz képest?

Az amerikai Forbes külsős szerzője megkérte a HackerOne platform IT-biztonsági mérnökét, Laurie Mercert, hogy helyezze el ezek a megemelt díjakat a piacon. Szerinte az operációs rendszer feltöréséért járó díj az egyik legmagasabb a piacon, ráadásul az egyik legnagyobb presztízzsel jár: akinek elfogadja a cég a riportját, bekerül a Google hírességek csarnokába, a hírhedt 0x0A listára.

Ugyanakkor ezt a képet árnyalja, hogy a Zerodium IT-biztonságtechnikai cég, ami ehhez hasonló szoftverhiba-felfedezések felvásárlására specializálódott, jóval nagyobb díjat is kínálhat egy nullanapos, be nem jelentett biztonsági résért.

Annak, aki távolról feltör egy Chrome-ot és átveszi az irányítást, 500 ezer dolláros díjat kínálnak.

A fekete- és szürkepiacon akár még ennél is magasabb összegek repkedhetnek az aukciókon, ahol nem ritkán államok is beszállnak a licitbe. Igaz, a kockázatok is magasabbak: nem számíthatnak jogi védelemre a felderítők, nincs garancia a névtelenségükre és a fizetésre sem, valamint tiltólistára kerülhetnek a szakmai konferenciákon.

 

„Ahol nyakig ér a szar, nem méricskélni kell, hanem cselekedni”