为悬赏Bug发现者,谷歌6年拿出超600万美元
谷歌近日宣称,从2010年推出Bug赏金计划以来,它已发放了逾600万美元奖金。仅在去年一年中,300多名安全研究员总共发现了750多个漏洞,谷歌给他们发送了逾200万美元奖金。
Bug赏金计划是对谷歌现有内部安全计划的有益补充。它可以激励个人和黑客群体发现谷歌服务中的漏洞,并以恰当的方式揭露这些漏洞,而不是利用这些漏洞搞破坏或销售给第三方牟利。
自从推出以来,谷歌的Bug赏金计划一直在稳步发展。该公司每年发现的漏洞越来越多,发放的奖金也越来越多。谷歌的安全团队在不断地拓展该计划的奖励范围,纳入了越来越多的产品,并提供了更多的奖励。
在2015年1月,谷歌的Bug赏金计划纳入了Android和iOS移动应用,并开始提供安全资助(即在安全研究员提交漏洞前就向其支付一笔费用)。例如,在得到谷歌的资助后,安全研究员卡米-西斯塔姆林(Kamil Histamullin)发现了YouTube创作者工作室(Creator Studio)有个安全漏洞,任何人均可以利用这个漏洞删除YouTube网站上的任何视频,他们只需要修改其网址上的一个参数即可。这个漏洞后来被消除了,西斯塔姆林也因此获得了5000美元的奖金,这笔奖金还不包括他最开始获得的研究资助。
然后在2015年6月,谷歌开始将Android设备纳入其Bug赏金计划。到去年底,谷歌已向发现Android设备漏洞的研究人员支付20万美元奖金,其中包括该公司的最大一笔奖金:3.75万美元。
谷歌还分享了2015年发生的两则有趣的故事。
1.在2015年,研究成果最丰硕的安全研究员托马斯-博雅斯基(Tomasz Bojarski)发现了谷歌服务中的70个漏洞。他甚至发现谷歌让安全研究员们提交安全漏洞的网络表格中也存在安全漏洞。
2.安全研究员桑美·韦德(Sanmay Ved)发现谷歌域名Google.com尚未注册,于是花费12美元成功买下了这个域名。谷歌原计划给他奖励6006.13美元(这个数字看起来与谷歌的拼写很像),但当该公司发现韦德准备将这笔奖金捐给慈善机构时,它将奖励金额提高了一倍。
Facebook、谷歌和微软均高调推出了Bug赏金计划。一些较小的公司也开始推出这样的计划。其实,在安全问题方面,最好的做法是:我们能及时发现和解决安全漏洞,而不是等到这些漏洞变成大问题后再行解决。给安全研究人员发放的奖励金额,相对于安全灾难发生后的补救成本来说,简直微不足道。
。- 标签:
- 编辑:刘柳
- 相关文章