غول فناوری گوگل جوایز نقدی بزرگتری برای گزارش هکرها ارائه می دهد نقص های امنیتی مهمی که بر هسته لینوکس، GKE، Kubernetes و kCTF تأثیر می گذارد.
در نوامبر سال گذشته گوگل پاداش باگ بوونتی را سه برابر کرد برای نقصهای هسته لینوکس که از طریق برنامه پاداش آسیبپذیری (VRP) گزارش شده است، برای پرداخت تا سقف 50,337 دلار برای مشکلات روز صفر.
این هفته، این شرکت اعلام کرد که این مقدار را تقریباً دو برابر کرده و یک را ارائه می دهد حداکثر پاداش 91,337 دلار برای اکسپلویت هایی که معیارهای خاصی را برآورده می کنند. حداکثر پرداخت شامل یک پاداش پایه و سه جایزه است.
پاداش پایه برای اولین اکسپلویت ارائه شده برای یک آسیب پذیری خاص 31,337 دلار است، بدون اینکه برای اکسپلویت های تکراری پاداشی ارائه شود.
با این حال، غول تبلیغات جستجو، پاداشی معادل 20,000 دلار برای باگهای امنیتی روز صفر (پرداخت برای اولین اکسپلویت معتبر)، پاداش 20,000 دلاری دیگر برای آسیبپذیریهایی که نیازی به فضای نام کاربری غیرمجاز ندارند (پرداخت برای اولین اکسپلویت معتبر) و سومین جایزه 20,000 دلاری برای اکسپلویت ها با استفاده از تکنیک های جدید اکسپلویت (که برای اکسپلویت های تکراری نیز پرداخت می شود).
[ خواندن: Google Triples Bounty برای بهره برداری از هسته لینوکس ]
ساختار جوایز جدید همچنین به محققان شرکتکننده این امکان را میدهد تا ۷۱۳۳۷ دلار برای اکسپلویتهای ۱ روزه و حداقل ۲۰ هزار دلار برای اکسپلویتهای تکراری که از تکنیکهای جدید استفاده میکنند، کسب کنند.
با این حال، گوگل اعلام کرد که تعداد پاداشها را برای یک روز به تنها یک در هر نسخه/ساخت محدود میکند. سالیانه 1-12 نسخه GKE در هر کانال وجود دارد، و ما دو گروه در کانالهای مختلف داریم، بنابراین پاداش پایه 18 دلاری را تا 31,337 بار پرداخت خواهیم کرد (بدون محدودیت برای پاداشها).
این شرکت توصیه میکند که محققان اکسپلویتهای خود را در خوشههای kCTF خودشان آزمایش کنند تا مطمئن شوند که هیچ شرکتکننده دیگری در VRP به این اکسپلویت دسترسی نخواهد داشت.
علاوه بر این، این شرکت میگوید که با حرکت رو به جلو، ارسالهای روز صفر دیگر لازم نیست در ابتدا شامل یک پرچم باشند، که گزارشهای یک روزه باید شامل پیوندهایی به وصلهها باشد، و از همان فرم میتوان برای ارسال هر دو اکسپلویت و پرچم استفاده کرد. .
[ خواندن: گوگل حمله جدید کروم در روز صفر را تایید کرد ]
گوگل اضافه کرد: «اگر یک چکسوم اکسپلویت را برای 0 روز ارسال کردهاید، لطفاً مطمئن شوید که اکسپلویت اصلی و همچنین اکسپلویت نهایی را وارد کردهاید و مطمئن شوید که آن را ظرف یک هفته پس از ادغام وصله در خط اصلی ارسال کنید».
این شرکت اکنون از یک خوشه برای کانال انتشار REGULAR و دیگری برای کانال انتشار سریع استفاده می کند تا انعطاف پذیری بیشتری را برای شکارچیان اشکال ارائه دهد.
از زمان راهاندازی گسترش kCTF VRP در نوامبر 2021، Google 1 مورد آسیبپذیری را دریافت کرد - شامل پنج روز صفر و دو یک روزه - و بیش از 175,000 دلار پاداش باگ پرداخت کرد.
مرتبط: Google در سال 8.7 2021 میلیون دلار پاداش باگ باونتی پرداخت کرد
مرتبط: گوگل در 29 سال بیش از 10 میلیون دلار پاداش Bug Bounty پرداخت کرد
مرتبط: Google وابستگی های منبع باز GKE را به برنامه پاداش آسیب پذیری اضافه می کند