В 2010 г. компания Google запустила программу по выплате денежного вознаграждения за обнаружение уязвимостей в своих сервисах. Только за прошлый год более 300 разных исследователей по компьютерной безопасности, обнаруживших более 750 ошибок, получили от Google больше $2 млн. Всего же с момента запуска программы в общей сложности было выплачено более $6 млн.
Подобные программы вознаграждения за обнаруженные ошибки являются прекрасным дополнением к существующим внутренним проектам, целью которых является поиск уязвимостей в программном обеспечении. Они хорошо мотивируют отдельных разработчиков и группы хакеров не просто искать недостатки, а описывать всё в мельчайших деталях, вместо использования уязвимостей со злым умыслом или перепродажи злоумышленникам.
С момента запуска в 2010 г. программа Google по выплате вознаграждений за найденные уязвимости постоянно росла: увеличивались выплаты и количество исправленных ошибок. В ответ на возрастающий интерес к программе Google снова и снова расширяла ее, добавляя новые продукты и увеличивая суммы выплат.
Так, в январе 2015 г. программа расширила свой ареал на мобильные приложения Google для Android и iOS. Кроме того, Google начала выплачивать гранты специалистам по безопасности (авансовые выплаты еще до момента обнаружения уязвимости). Из недавних примеров можно вспомнить исследователя по безопасности Камиля Хисматуллина, который обнаружил ошибку в YouTube Creator Studio уже после получения гранта. Злоумышленники могли использовать данную уязвимость для удаления любого видео YouTube, просто меняя параметр URL. После устранения уязвимости Хисматуллин получил еще $5 тыс. дополнительно.
В июне 2015 г. Google начала выплачивать вознаграждения за уязвимости, найденные в Android. К концу прошлого года выплаты исследователям по этой “статье” превысили $200 тыс. При этом самый большой единичный платёж составил $37,5 тыс. Напоследок остается отметить, что не только Facebook, Google и Microsoft готовы платить за найденные уязвимости, более мелкие компании тоже преуспели в этом направлении. (Google/NovostIT)