Encontre falhas no Google e ganhe até U$ 150 mil; Descubra como!

Desde 2010, a Google paga às pessoas para encontrarem falhas de segurança no código da maior plataforma digital.

Desde que esse sistema acontece, a empresa pagou mais de US$ 5 milhões aos que tiraram seu tempo com esse propósito.

Recentemente, a gigante das buscas, anunciou o aumento das recompensas, com um pagamento máximo de US$ 150 mil e outros pagamentos duplicando ou triplicando de tamanho.

Até então, foram relatados 8.500 relatórios e pagamentos, chamados de bounties de bug. Os pagamentos referentes à essas exposições, somam-se mais de US$ 5 milhões.

O Programa de Recompensas por Vulnerabilidade do Chrome oferece duplicação de recompensa quando é o caso de “relatórios de qualidade” (de US$ 15 mil para US$ 30 mil). O valor é triplicado quando se tem um relatório de linha de base.

Um relatório de qualidade deve possuir um caso de teste minimizado, bem como uma análise que tem o papel de determinar a causa da falha, um patch de correção sugerido e uma demonstração para apontar um erro com potencial para acontecer.

Em casos de relatório de linha de base, é preciso que haja um teste minimizado, de maneira que o problema seja explorável.

Pagamentos

Laurie Mercer, engenheira de segurança da HackerOne, relata sobre os pagamentos da Google, dizendo que estes são muito bem embolsados.

“A recompensa para os participantes que podem comprometer um Chromebook ou um Chromebox é uma das recompensas mais altas do mercado atualmente” disse.

Ainda completa que enviar um bug qualificado para essa recompensa “garantiria um lugar no prestigioso Google Hall of Fame”

Todavia, quando se comparado a Zerodium, uma empresa de segurança digital, conhecida como a que paga melhor a pesquisadores que descobrem falhas antes das próprias companhia, a Google deixa a desejar. A empresa costuma pagar uma recompensa de US$ 500 mil, desde que seja oferecido remota de execução de código e escalonamento de privilégio local contra o Chrome, por exemplo.

Já em mercados ilegais, leilões são feitos por falhas em sistema de empresas, de modo que são oferecidos altos preços, por vezes até maiores que as recompensas aqui relatadas. Todavia, esse tipo de atividade compromete um risco, já que não há qualquer tipo de garantias de privacidade e pagamento. Sem contar que esses pesquisadores não tem a possibilidade de apresentarem seus trabalhos em conferências.

O pesquisador de segurança de aplicativos Sean Wright dá algumas ressalvas sobre o assunto:

“Se você quer o dinheiro, vai vender para a Zerodium. Se quiser ser ético, você vai informar o Google. A menos que o Google corresponda às somas pagas pelo Zerodium, é improvável que isso mude”.

Fuzzers, apps e a recompensa de US$ 150 mil

O Google também dá recompensa quando encontrado “bugs” em “fuzzers”. Este, é um software utilizado para testar parâmetros de várias aplicações. Sua função é baseada no processo de inserção de dados inválidos ou aleatórios com o objetivo de que o software de destino colapse ou vaze a memória de modo que possa seja explorada por um invasor. Os fuzzers ocorrem comumente no Google, e quem encontra os bugs é recompensado.

Através do Google, é possível criar uma cadeia de exploração e comprometer um Chromebook no modo visitante. As recompensas imediatas estão disponíveis em toda a linha.

O Programa de Recompensa de Segurança do Google Play aumentou o valor do pagamento para pesquisadores, em função de uma parceria com a HackerOne, uma plataforma de segurança de hackers. Este, é um programa que também oferece recompensa àqueles que encontram vulnerabilidades, só que dessa vez em aplicativos populares. O valor pode chegar até US$ 20 mil.

Veja também:

• CPS oferece curso de programação online, gratuito e com certificado
• Google Abre Inscrições Para Treinamento Gratuito de Desenvolvedores