Página Inicial



twitter

Facebook

  Notícia
|

 

SAIBA COMO SE TORNAR UM ´CAÇADOR DE BUGS´ DO GOOGLE

02/02/2017

Já dissemos que o Google pagou mais de R$ 3 milhões em 2016 a quem conseguiu achar vulnerabilidades e defeitos em seus produtos. De acordo com o programa de recompensas da empresa, é possível ganhar mais de R$ 60 mil por uma única falha encontrada. Além do dinheiro, os caçadores de bugs serão mencionados no “Hall da Fama” da empresa.

Mas como se tornar um "caçador de bugs"? Listamos algumas dicas para quem se interessou pela atividade. Confira:
 

Serviços incluídos no programa

Segundo o Google, qualquer serviço da web pertencente à empresa que manipule dados sensíveis do usuário entra no programa. Isso inclui sites como o google.com, o youtube.com e o blogger.com, além de apps desenvolvidos pela gigante de buscas e também extensões na Web Store do Chrome.

Não participam os serviços da companhia que estejam hospedados em sites de terceiros, nem os que se enquadrem em aquisições recentes.

“Por favor, não tente se acessar os escritórios do Google, nem ataques de phishing contra nossos funcionários. Não tente realizar ataques de DoS, aproveitar técnicas de black hat, enviar spam ou fazer outras coisas igualmente questionáveis”, pede o Google.

Reportando um bug

Reprodução

 

Se você encontrou uma falha e deseja reportá-la ao Google, deve preencher este formulário. A página pede que o usuário identifique o tipo de problema encontrado e explique como ele funciona. Se o sistema acreditar que se trata realmente de um bug, a empresa entrará em contato com quem o encontrou.

De acordo com a equipe de segurança da empresa, 90% das indicações recebidas descrevem problemas que não são vulnerabilidades, apesar de se parecerem com uma.

Recompensas

Veja quanto vale cada problema encontrado

Categoria

Exemplos

Aplicativos que permitem assumir uma conta do Google

Outras aplicações altamente sensíveis

Aplicações do Google

Aquisições não integradas e outras aplicações em zonas restritas ou de menor prioridade

Vulnerabilidades que dão acesso direto aos servidores do Google

Execução remota de código

Injeção de comando, erros de desserialização, escapes de sandbox

US$ 20.000

US$ 20.000

US$ 20.000

US$ 1.337 - US$ 5.000

Sistema de arquivos irrestritos ou acesso a banco de dados

Unsandboxed XXE, SQL injection

US$ 10.000

US$ 10.000

US$ 10.000

US$ 1.337 - US$ 5.000

Erros de falha de lógica que vazam ou ignoram controles de segurança significativos

Referência de objeto direta, representação remota de usuário

US$ 10.000

US$ 7.500

US$ 5.000

US$ 500

Vulnerabilidades que dão acesso ao cliente ou à sessão autenticada da vítima conectada

Executar código no cliente

Web : Cross-site scripting 
Mobile / Hardware : Execução de código

US$ 7.500

US$ 5.000

US$ 3,133.7

US$ 100

Outras vulnerabilidades de segurança válidas

Web : CSRF, Clickjacking 
/ Hardware Móvel : vazamento de informações, escalação de privilégios

US$ 500 - US$ 7.500

US$ 500 - US$ 5.000

US$ 500 - US$ 3,133.7

US$ 100

:


Todas as regras do programa podem ser encontradas de maneira detalhada aqui.


 
 
Fonte: Olhar Digital

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar