O Google anunciou uma expansão do programa de recompensas que paga profissionais por informações sobre vulnerabilidades: agora a iniciativa passa a incluir todos os aplicativos cadastrados na Play Store que alcançaram a marca de 100 milhões de instalações.

Os programas de recompensa visam remunerar especialistas em segurança que encontram falhas e confirmam a viabilidade de um ataque. Se encontradas as brechas, essas serão repassadas aos desenvolvedores dos aplicativos e, caso o problema não seja solucionado, o app pode ser removido da loja.

Em 2017, o Google criou o programa de recompensas (ou “Bug Bounties”, como são chamados em inglês) da Google Play e contemplava apenas aplicativos específicos. Com o anúncio, qualquer app com mais de 100 milhões de downloads será incluído no programa. 

Segundo a companhia, a finalidade do projeto é proteger usuários de aplicativos populares que não dispõem de programas de recompensa próprios; além de atualizar o banco de dados do programa de Aprimoramento de Segurança de Apps com as novas vulnerabilidades encontradas.

Recompensa por denúncias de abuso de dados

O Google também anunciou o lançamento de um programa de recompensas que visa descobrir aplicativos, serviços e extensões do Chrome que captam dados de maneira indevida, sem informar ao usuário, ou que utilizam métodos proibidos pelas políticas do Google.

Um dos principais exemplos de abuso de dados é o caso da Cambrigde Analytica, que gerou uma multa de US$ 5 bi ao Facebook.

Plataforma hackerOne

Os programas de recompensa de falhas do Google Play e de Proteção de Dados são oferecidos por meio da plataforma hackerOne, que atende diversas organizações e atua como uma “central” para essas recompensas.

Nesta semana, a hackerOne divulgou que seis pesquisadores já contribuíram e receberam mais de US$ 1 milhão cada. No total, foram pagos US$ 62 milhões (cerca de R$ 255 milhões) em recompensas por mais de 123 mil vulnerabilidades distribuídas em mais de 1.400 programas de recompensas.

O programa de recompensas principal do Google, chamado VRP, é gerenciado internamente pela empresa, sem intermédio da hackerOne.

No caso de programas do Google na hackerOne, os pagamentos são, em média, de mil dólares, mas podem chegar a US$ 5 mil (cerca de R$ 20 mil).  Esse valor pode ser ainda maior com a recente expansão anunciada.

Já a recompensa por denúncias de abuso de dados é nova e as primeiras contribuições foram avaliadas em US$ 500. Segundo o Google, um relato de alta qualidade pode valer até US$ 50 mil (cerca de R$ 200 mil).

Fonte: G1