Компания Google объявила о значительном увеличении вознаграждений в рамках своей программы Google Bug Hunters по поиску ошибок в коде. Теперь компания будет предлагать энтузиастам, разработчикам и хакерам, обнаружившим уязвимости, более щедрые денежные призы.

Источник изображения: Copilot

По сообщению PCMag, размер вознаграждений увеличивается вплоть до 5 раз, а максимальная выплата увеличивается до 151 515 долларов США. «Мы с радостью сообщаем, что обновляем сумму наших вознаграждений, увеличивая их до пятикратного размера», — заявили инженеры по информационной безопасности Google Сэм Эрб (Sam Erb) и Кшиштоф Котович (Krzysztof Kotowicz).

К примеру, базовая награда за обнаружение логической ошибки, позволяющей взять под контроль аккаунт в системе Google, выросла с $13 337 до $50 000. За подробные и качественные отчёты о найденных уязвимостях компания готова заплатить $75 000. При этом максимальный размер базовой награды составит $101 010, однако с учётом коэффициента за высококачественный отчёт, вознаграждение может вырасти до 151 515 долларов.

Эрб и Котович пояснили, что данные коэффициенты ввели для стимулирования предоставления более чётких и полных отчётов по примеру программ поиска уязвимостей для мобильных устройств, Chrome и Android (Mobile VRP, Chrome VRP и Android VRP). Участники программы могут рассчитывать на один из трёх коэффициентов, в зависимости от качества: за исключительное качество — 1,5x, за хорошее — 1,0x, и за низкое — 0,5x.

Напомним, программа поиска уязвимостей Google была запущена в 2010 году. С тех пор компания выплатила сторонним разработчикам $59 миллионов в качестве вознаграждений. Рекордным по выплатам стал 2022 год, когда сумма достигла $12 миллионов. Новые правила вознаграждения по программе «Google Bug Hunters» вступили в силу 11 июля.

Что бы вы сделали, если бы ваш банковский счёт увеличился на четверть миллиона долларов? Это кажется сказкой, но такой случай в реальности произошёл с хакером-багхантером по имени Сэм Карри (Sam Curry), который занимается поиском различных уязвимостей и работает инженером по безопасности в компании Yuga Labs.

Источник изображения: pixabay.com

В своём сообщении в Twitter Карри рассказал о неожиданном платеже от Google и сообщил, что не получил никакого ответа спустя несколько недель после обращения в службу поддержки. «Прошло чуть больше трех недель с тех пор, как из Google мне случайно прислали $249 999, а я до сих пор не получил никакого ответа от службы поддержки. Есть ли ещё какой-нибудь способ связаться с Google?»

На такое количество денег можно купить неплохие вещи — новый дом, шикарный спортивный автомобиль, катер или что-то ещё. Вместо того, чтобы потратить деньги полностью или частично, Карри мудро придержал их. Он хотел было перевести эти деньги на отдельный счёт, чтобы у налоговой службы не возникло к нему вопросов, но, похоже, что ему не придётся этого делать.

Догадка Карри о том, что Google совершила этот денежный перевод по ошибке, оказалась верной. «Наша команда недавно произвела платёж не той стороне в результате человеческой ошибки. Мы ценим, что человек, которого это коснулось, быстро сообщил нам об этом, и мы работаем над исправлением ситуации», — заявил представитель Google в интервью NPR.

Неясно, как именно это произошло, кроме того, что это «результат человеческой ошибки». Тем не менее, компания, в которой работает Карри, участвует в программах по поиску уязвимостей, в том числе и в продуктах Google. Максимальная сумма вознаграждения от компании составляет 1 миллион долларов, в случае обнаружения дефектов выполнения кода в чипе безопасности Google Pixel Titan M.

В любом случае, надеемся, что Google компенсирует Карри эту ошибку. В конце концов, Alphabet может себе это позволить — прошлом году она заработала более 278 миллиардов долларов.