Já dissemos no Olhar Digital que o Google pagou mais de R$ 3 milhões em 2016 a quem conseguiu achar vulnerabilidades e defeitos em seus produtos. De acordo com o programa de recompensas da empresa, é possível ganhar mais de R$ 60 mil por uma única falha encontrada. Além do dinheiro, os caçadores de bugs serão mencionados no “Hall da Fama” da empresa.
Mas como se tornar um “caçador de bugs”? Listamos algumas dicas para quem se interessou pela atividade. Confira:
Serviços incluídos no programa
Segundo o Google, qualquer serviço da web pertencente à empresa que manipule dados sensíveis do usuário entra no programa. Isso inclui sites como o google.com, o youtube.com e o blogger.com, além de apps desenvolvidos pela gigante de buscas e também extensões na Web Store do Chrome.
Não participam os serviços da companhia que estejam hospedados em sites de terceiros, nem os que se enquadrem em aquisições recentes.
“Por favor, não tente se acessar os escritórios do Google, nem ataques de phishing contra nossos funcionários. Não tente realizar ataques de DDoS, aproveitar técnicas de black hat, enviar spam ou fazer outras coisas igualmente questionáveis”, pede o Google.
Reportando um bug
Se você encontrou uma falha e deseja reportá-la ao Google, deve preencher este formulário. A página pede que o usuário identifique o tipo de problema encontrado e explique como ele funciona. Se o sistema acreditar que se trata realmente de um bug, a empresa entrará em contato com quem o encontrou.
De acordo com a equipe de segurança da empresa, 90% das indicações recebidas descrevem problemas que não são vulnerabilidades, apesar de se parecerem com uma.
Recompensas
Veja quanto vale cada problema encontrado:
|
Categoria |
Exemplos |
Aplicativos que permitem assumir uma conta do Google |
Outras aplicações altamente sensíveis |
Aplicações do Google |
Aquisições não integradas e outras aplicações em zonas restritas ou de menor prioridade |
|
Vulnerabilidades que dão acesso direto aos servidores do Google |
|||||
|
Execução remota de código |
Injeção de comando, erros de desserialização, escapes de sandbox |
US$ 20.000 |
US$ 20.000 |
US$ 20.000 |
US$ 1.337 – US$ 5.000 |
|
Sistema de arquivos irrestritos ou acesso a banco de dados |
Unsandboxed XXE, SQL injection |
US$ 10.000 |
US$ 10.000 |
US$ 10.000 |
US$ 1.337 – US$ 5.000 |
|
Erros de falha de lógica que vazam ou ignoram controles de segurança significativos |
Referência de objeto direta, representação remota de usuário |
US$ 10.000 |
US$ 7.500 |
US$ 5.000 |
US$ 500 |
|
Vulnerabilidades que dão acesso ao cliente ou à sessão autenticada da vítima conectada |
|||||
|
Executar código no cliente |
Web : Cross-site scripting |
US$ 7.500 |
US$ 5.000 |
US$ 3,133.7 |
US$ 100 |
|
Outras vulnerabilidades de segurança válidas |
Web : CSRF, Clickjacking |
US$ 500 – US$ 7.500 |
US$ 500 – US$ 5.000 |
US$ 500 – US$ 3,133.7 |
US$ 100 |
Todas as regras do programa podem ser encontradas de maneira detalhada aqui.
Tags: