Já dissemos que o Google pagou mais de R$ 3 milhões
em 2016 a quem conseguiu achar vulnerabilidades e defeitos em seus
produtos. De acordo com o programa de recompensas da empresa, é possível
ganhar mais de R$ 60 mil por uma única falha encontrada. Além do
dinheiro, os caçadores de bugs serão mencionados no “Hall da Fama” da
empresa.
Mas como se tornar um "caçador de bugs"? Listamos algumas dicas para quem se interessou pela atividade. Confira:
Serviços incluídos no programa
Segundo o Google, qualquer serviço da web pertencente à empresa
que manipule dados sensíveis do usuário entra no programa. Isso inclui
sites como o google.com, o youtube.com e o blogger.com, além de apps
desenvolvidos pela gigante de buscas e também extensões na Web Store do
Chrome.
Não participam os serviços da companhia que estejam hospedados em
sites de terceiros, nem os que se enquadrem em aquisições recentes.
“Por favor, não tente se acessar os escritórios do Google, nem
ataques de phishing contra nossos funcionários. Não tente realizar
ataques de DoS, aproveitar técnicas de black hat, enviar spam ou fazer
outras coisas igualmente questionáveis”, pede o Google.
Reportando um bug
Se você encontrou uma falha e deseja reportá-la ao Google, deve
preencher este formulário. A página pede que o usuário identifique o
tipo de problema encontrado e explique como ele funciona. Se o sistema
acreditar que se trata realmente de um bug, a empresa entrará em contato
com quem o encontrou.
De acordo com a equipe de segurança da empresa, 90% das
indicações recebidas descrevem problemas que não são vulnerabilidades,
apesar de se parecerem com uma.
Recompensas
Veja quanto vale cada problema encontrado
|
Categoria
|
Exemplos
|
Aplicativos que permitem assumir uma conta do Google
|
Outras aplicações altamente sensíveis
|
Aplicações do Google
|
Aquisições não integradas e outras aplicações em zonas restritas ou de menor prioridade
|
|
Vulnerabilidades que dão acesso direto aos servidores do Google
|
|
Execução remota de código
|
Injeção de comando, erros de desserialização, escapes de sandbox
|
US$ 20.000
|
US$ 20.000
|
US$ 20.000
|
US$ 1.337 - US$ 5.000
|
|
Sistema de arquivos irrestritos ou acesso a banco de dados
|
Unsandboxed XXE, SQL injection
|
US$ 10.000
|
US$ 10.000
|
US$ 10.000
|
US$ 1.337 - US$ 5.000
|
|
Erros de falha de lógica que vazam ou ignoram controles de segurança significativos
|
Referência de objeto direta, representação remota de usuário
|
US$ 10.000
|
US$ 7.500
|
US$ 5.000
|
US$ 500
|
|
Vulnerabilidades que dão acesso ao cliente ou à sessão autenticada da vítima conectada
|
|
Executar código no cliente
|
Web : Cross-site scripting
Mobile / Hardware : Execução de código
|
US$ 7.500
|
US$ 5.000
|
US$ 3,133.7
|
US$ 100
|
|
Outras vulnerabilidades de segurança válidas
|
Web : CSRF, Clickjacking
/ Hardware Móvel : vazamento de informações, escalação de privilégios
|
US$ 500 - US$ 7.500
|
US$ 500 - US$ 5.000
|
US$ 500 - US$ 3,133.7
|
US$ 100
|
:
Todas as regras do programa podem ser encontradas de maneira detalhada aqui.
Fonte: Olhar Digital
Notícia