El Programa de recompensas por vulnerabilidades de Google (VRP), ahora conocido con el nuevo nombre «Bug Hunters», es un programa a través del cual Google ofrece recompensas por identificar e informar vulnerabilidades de seguridad en sus productos y servicios. Las primas han aumentado significativamente desde 2021, pero hablaremos más de eso en el siguiente artículo.
El Programa Bug Hunters y el año 2022
Sólo el año pasado, se informaron y solucionaron más de 2.900 errores a través del VRP, y se distribuyeron más de 12 millones de dólares en recompensas entre más de 700 investigadores, según el Blog de seguridad de Google. El pago más alto del año pasado fue de más de 600.000 dólares. En total, se han pagado más de 45 millones de dólares desde 2015.
El programa se ha ampliado y simplificado a lo largo de los años y tiene una nueva forma. Los programas de recompensas individuales para los distintos productos de Google (p. ej. Búsqueda de Google, Android, Chrome, Play) se agrupan bajo el paraguas de Bug Hunters. Esto habilita una plataforma unificada a través de la cual se pueden informar vulnerabilidades de seguridad. El programa también introduce algunas mecánicas de juego en forma de tablas de clasificación específicas de cada país e insignias de premios para fomentar la interacción y la competencia dentro de la comunidad. Para ayudar a los investigadores a mejorar sus habilidades de búsqueda de errores y mejorar sus informes, la compañía ha lanzado una biblioteca de recursos educativos ubicados en una sección de la plataforma llamada Bug Hunter University.
Desde aquí, los investigadores pueden ver informes exitosos anteriores, explorar objetivos de error sugeridos y aprender cómo preparar y formatear adecuadamente una divulgación. Google también anima a los usuarios a enviar informes sobre errores en software gratuito y de código abierto, que también podrían optar a una recompensa en el marco del programa.
Duplicar las primas
Las primas actuales ya se incrementaron en 2022. Google ha anunciado que duplicará las recompensas para los cazadores de errores que puedan demostrar exploits funcionales para una variedad de vulnerabilidades de día cero y de un día en una variedad de plataformas, informa ITPro. Estos aumentos se aplican a los exploits descubiertos en el kernel de Linux, Kubernetes, Google Kubernetes Engine o la infraestructura basada en Kubernetes para los ejercicios Capture the Flag.
Las recompensas por exploits de seguridad válidos de un día se han más que duplicado hasta alcanzar los 71.337 dólares, desde los 31.337 dólares anteriores. Los días de un día son vulnerabilidades conocidas públicamente que se parchean, pero Google ofrece recompensas por exploits novedosos en estos casos. Los cazadores de errores que buscan recompensas por exploits válidos de un día deben proporcionar un enlace al parche existente en su informe. Google también ha anunciado que limitará el número de recompensas por vulnerabilidades de un día a una sola versión o compilación.
Los exploits válidos para vulnerabilidades de día cero previamente desconocidas casi se duplicarán, con una recompensa máxima de 91.337 dólares, frente a los 50.337 dólares anteriores. Las vulnerabilidades de día cero tienden a atraer mayores recompensas porque todos los proveedores siempre quieren proteger la vulnerabilidad antes de que la noticia llegue a los ciberdelincuentes.
Aumentar también para Chrome
Como informa Yahoo Finance, Google también ha anunciado un aumento significativo en las recompensas por su programa de recompensas por vulnerabilidades para Chrome. Hasta principios de diciembre de 2023, Google ha ofrecido recompensas de hasta 180.000 dólares por descubrir vulnerabilidades de seguridad en Chrome.
El primer informe de un problema de seguridad con un exploit de cadena completa que funcione y que resulte en una fuga del entorno limitado de Chrome podría ser elegible para recibir el triple de la recompensa normal. Esto significa que se pueden esperar recompensas entre $165,000 y $180,000.
Además de esta importante suma, podrían estar disponibles otras bonificaciones. Las cadenas de explotación completas posteriores enviadas a Google a través del Programa de recompensas por vulnerabilidad podrían ser elegibles para recibir el doble del monto total de la recompensa, es decir, entre $110 000 y $120 000.
Equipo editorial finanzen.net
Productos de apalancamiento seleccionados en Alphabet A (ex Google)
Con los knock-outs, los inversores especulativos pueden participar desproporcionadamente en los movimientos de precios. Simplemente seleccione la palanca que desee y le mostraremos los productos abiertos adecuados en Alphabet A (ex Google)
El apalancamiento debe estar entre 2 y 20
Publicidad