В конце недели, когда Google отмечал День безопасного Интернета, компания обобщила прогресс своей программы вознаграждений за уязвимости в 2018 году. В общей сложности в прошлом году было выплачено 3,4 миллиона долларов вознаграждений 317 исследователям безопасности со всего мира.
Программа вознаграждений Google за уязвимости выплатила 15 миллионов долларов с момента запуска в 2010 году. В прошлом году половина из 3,4 миллиона долларов была направлена на Android и Chrome, самые используемые платформы компании.
Цель программы проста: поощрять исследователей сообщать о проблемах, чтобы мы могли быстро их устранять и обеспечивать безопасность данных пользователей. Мы также предоставляем финансовые вознаграждения за сообщения об ошибках, начиная от 100 до 200 000 долларов, в зависимости от уровня риска их открытия.
Было выдано 1319 индивидуальных вознаграждений 317 исследователям в 78 странах. Самое крупное единовременное вознаграждение составило 41 000 долларов, а 181 000 долларов было пожертвовано на благотворительность. Google перечисляет нескольких исследователей в своем ежегодном обзоре:
Благодаря исследователям со всего мира мы смогли исправить самые разные ошибки. Эзекиль Перейра, 19-летний исследователь из Уругвая, обнаружил ошибку «удаленное выполнение кода» (RCE), которая позволила ему получить удаленный доступ к нашей консоли Google Cloud Platform. Томаш Боярски из Польши обнаружил ошибку, связанную с межсайтовым скриптингом (XSS), — тип ошибки безопасности, который может позволить злоумышленнику изменять поведение или внешний вид веб-сайта, красть частные данные или выполнять действия от имени другого человека. Томаш был лучшим охотником за ошибками в прошлом году и использовал полученные деньги для открытия лоджа и ресторана. После того, как Дмитрий Лукьяненко, исследователь из Минска, Беларусь, потерял работу, он стал заниматься поиском ошибок полный рабочий день и присоединился к нашей программе грантов VRP, которая со временем предоставляет финансовую поддержку активным охотникам за ошибками.
Между тем, в прошлом году Google также запустил премии за исследования в области безопасности и конфиденциальности. Победители отбираются комитетом Google из старших исследователей в области безопасности и конфиденциальности, чтобы «признать ученых, внесших значительный вклад в эту область». В различных областях семь победителей, которым Google пожертвовал полмиллиона долларов своим университетам.
- Алина Опреа, Северо-Восточный университет: Безопасность облачных вычислений
- Мэттью Грин, Университет Джонса Хопкинса: Криптография
- Торстен Хольц, Рурский университет в Бохуме, Системная безопасность
- Аластер Бересфорд, Кембриджский университет: Безопасность и конфиденциальность пользователя, мобильная безопасность
- Кармела Тронкосо, École Polytechnique Fédérale de Lausanne: Конфиденциальность / Безопасность ML
- Рик Уош, Мичиганский государственный университет: Конфиденциальность и безопасность пользователя
- Пратек Саксена, Национальный университет Сингапура: ML / Веб-безопасность
На этой неделе Google объявил о новом расширении Chrome для поиска скомпрометированных паролей на сторонних сайтах, подробно рассказал, как TensorFlow блокирует на 100 миллионов больше спам-сообщений в день в Gmail, и представил Adiantum для обеспечения шифрования хранилища на маломощных устройствах Android.