O Google aumenta o valor do “Bug Bounty” para falhas de “abuso”

O Google adicionou riscos de abuso de produto ao seu Programa de Recompensa de Vulnerabilidade (VRP) há dois anos e diz que mais de 750 desses problemas foram identificados desde então. 

O valor para problemas de alta gravidade aumentou 166%, de $5.000 para $ 13.337. Além disso, o Google anunciou que os pesquisadores de segurança que enviarem relatórios sobre falhas de segurança com médio a alto impacto e probabilidade podem receber até US $ 5.000 por suas descobertas. 

A empresa está disposta a pagar até US $ 1.337 por falhas de baixo impacto com alta probabilidade. 

“A partir de hoje, as novas recompensas entram em vigor. Todos os relatórios enviados antes de 1º de setembro de 2020 serão recompensados ​​com base na tabela de recompensas anterior ”, afirma a empresa. 

O gigante da Internet observa que o valor final da recompensa que um pesquisador receberá por suas descobertas “permanece a critério do painel de recompensas”. Tanto a gravidade do problema quanto o número de usuários afetados são levados em consideração ao avaliar o impacto de um risco de abuso.

O Google também disse que está considerando expandir o escopo das Bolsas de Pesquisa de Vulnerabilidade para apoiar pesquisas destinadas à prevenção de riscos de abuso, mas que detalhes específicos sobre o assunto serão compartilhados em uma data posterior. 

“A identificação de riscos de abuso de novos produtos continua sendo o objetivo principal do programa. Os relatórios que se qualificam para uma recompensa são aqueles que resultarão em alterações no código do produto, em oposição à remoção de partes individuais de conteúdo abusivo ”, explica a empresa de pesquisa.  

O Google destaca que, embora a natureza do abuso do produto esteja mudando de acordo com os avanços da tecnologia, ele está interessado principalmente em pesquisas que visem proteger a privacidade dos usuários e garantir a integridade das tecnologias do Google, além de prevenir fraudes financeiras ou outros tipos de prejuízo. 

Fonte: https://www.securityweek.com/google-increases-bug-bounty-payouts-abuse-risk-flaws