Google supera US$2 mi em recompensas e reforça "boom" de caçadores de bugs

O programa de bugs do Google não está apenas recompensando a empresa (e, por extensão, você), mas também está recompensando pesquisadores de segurança que buscam por vulnerabilidades em softwares da empresa. 
A gigante das buscas anunciou recentemente que, nos últimos três anos, o Google recebeu mais de 2 mil relatórios sobre falhas de segurança e pagou mais de 2 milhões de dólares em prêmios.
Programas de recompensas estão se tornando uma maneira cada vez mais popular para os fabricantes de software manterem seus produtos mais seguros. Em vez de depender exclusivamente de funcionários ou relatórios de empresas de segurança privadas, os programas de bugs criam um canal para pesquisadores individuais relatarem falhas de segurança diretamente para a empresa. 
Se a brecha atender aos requisitos do programa de recompensas, então, a empresa pagará uma quantia para o descobridor da falha.
O conceito básico de programas de recompensa de bugs pode ser remetido ao conceito de software de código aberto e à premissa de que quanto mais olhos analisarem um código, mais provável que sejam encontradas e corrigidas as falhas de segurança. 
Ao contrário da comunidade open source, no entanto, os “caçadores de bugs” do Google nem sempre tem acesso ao código subjacente. Em vez disso, os pesquisadores tentam encontrar formas inovadoras para explorar os sistemas da empresa.
Abrir as portas e declarar que está aberta a estação da caça em seu próprio software pode parecer loucura, mas o conceito parece estar funcionando. Um estudo recente realizado por pesquisadores da Universidade da Califórnia em Berkeley descobriram que programas de recompensa de bugs são mais barato e mais eficazes do que a contratação de funcionários para fazer o mesmo trabalho.
Parte da razão para essa eficácia é que você terminar por ter mais pessoas tentando fechar os buracos do seu sistema. Mas, no caso do Google, os pesquisadores disseram que a competição desempenha um papel importante também. 
A gigante de Mountain View paga recompensas em uma escala móvel, dependendo da gravidade da vulnerabilidade, e emite bônus para bugs particularmente importantes. O Google também distribui recompensas maiores durante competições como Pwnium e Pwn2Own, onde hackers competem por prêmios por encontrar o caminho mais rápido para entrar em um PC usando exploits baseados em browser.
A chance de conquistar recompensas maiores motiva as pessoas a continuar procurando por erros, na esperança de um grande prêmio no futuro. “Quanto maior o valor do prêmio em potencial”, disseram os pesquisadores da UC Berkeley, “mais dispostos estarão os participantes a aceitar um valor mais baixo, o quer, para VRPs (programas de recompensa de vulnerabilidades) significa que o programa pode esperar mais participantes.”
Dinheiro em troca de vulnerabilidades
Para comemorar a marca de 2 mil dólares, o Google não está dobrando mas sim quintuplicando sua recompensa. A empresa vai agora pagar até 5 mil dólares para quem encontrar falhas no Chromium, um projeto open source da empresa baseado no Chrome. 
O Google não é a única grande empresa a oferecer recompensas por bugs. Outras grandes companhias também se beneficiar da iniciativa, que incluem AT&T, Facebook, PayPal, e Samsung. 
Até mesmo a sempre reservada Microsoft está entrando na dança, e anunciou em junho que daria recompensas para exploits encontrados no Windows 8.1 e no Internet Explorer 11 por tempo limitado.
Qualquer um que estiver interessado em participar dessa “caça aos bugs” pode encontrar uma longa lista de programas de recompensas no Bugcrowd.com.
Via: IDGNow

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s