Google aumenta le ricompense per i cacciatori di vulnerabilità


Google ha comunicato di aver aggiornato le regole e le ricompense del Vulnerability Reward Program, il programma lanciato nel corso del mese di novembre 2010 che premia gli utenti che scoprono e segnalano problemi di sicurezza inerenti a qualunque servizio web operato dal colosso di Mountain View.

Come si legge nel post sul blog ufficiale, il programma ha consentito a Google di ricevere oltre 780 report di vulnerabilità qualificate che interessano tutti i servizi di Google, sia quelli sviluppati internamente sia quelli realizzati da molte delle compagnie acquisite nel corso degli ultimi anni dalla grande G. Sin dal suo debutto Vulnerability Reward Program ha premiato circa 200 individui per un totale di 460 mila dollari.

Le nuove regole del programma prevedono ora una ricompensa di 20 mila dollari per vulnerabilità qualificate che il comitato di controllo determina possano consentire l’esecuzione di codice sui sistemi in produzione di Google, una ricompensa di 10 mila dollari per vulnerabilità di SQL injection e simili e per alcuni tipi di bug di autenticazione, di bypass di autorizzazione e di fuga di informazioni. Infine è previsto un premio fino a 3133,7 dollari per falle XSS, XSRF e altre falle ad alto impatto in applicazioni sensibili.

Google ha inoltre informato che le nuove regole offrono una serie di premi minori per le vulnerabilità scoperte per acquisizioni non integrate e per problemi a basso rischio. A tal proposito si legge nel post: “Sebbene qualsiasi falla necessiti di un’appropriata attenzione, offriremo una ricompensa più elevata per una vulnerabilità scripting cross-site in Google Wallet rispetto ad una in Google Art Project, dove il rischio potenziale per i dati degli utenti è signficativamente inferiore”.