Resumo:
- Os valores para quem encontrar bugs no navegador do Google podem chegar a US$ 30 mil e a US$ 150 mil para falhas no Chromebook;
- Mais de 8.000 bugs já foram descobertos nos últimos anos do Chrome Vulnerability Rewards Program, o que resultou um total de US$ 5 milhões em recompensas;
- Erros encontrados no Google Play podem render até US$ 20 mil em premiação.
Pode ser surpreendente saber que o Google paga às pessoas para que elas quebrem e invadam seus sistemas desde 2010. De fato, a empresa pagou mais de US$ 5 milhões durante esses nove anos a pessoas que fizeram exatamente isso. Agora, anunciou que aumentou as recompensas, com um pagamento individual máximo de US$ 150 mil e outros pagamentos duplicando ou triplicando de tamanho. Tudo o que você precisa fazer é encontrar as falhas de segurança no código do Google.
LEIA MAIS: Google e Facebook monitoram a atividade de usuários em sites pornográficos
O Programa de Recompensas por Vulnerabilidade do Chrome foi lançado em 2010 e oferece recompensas em dinheiro para pesquisadores de segurança que descobrem e relatam vulnerabilidades nos códigos do Google. Até agora, houve mais de 8.500 relatórios e pagamentos, também conhecidos como bounties de bug, em total que supera US$ 5 milhões.
Em uma postagem no blog de segurança do Google, Natasha Pabrai e Andrew Whalley, da equipe de segurança do Chrome, disseram que estavam felizes em anunciar um aumento geral nos valores de recompensa. Os destaques vão para a duplicação da recompensa máxima dos “relatórios de qualidade” (de US$ 15 mil para US$ 30 mil) e triplicar o valor da recompensa inicial para US$ 15 mil por um relatório de linha de base.
Para ser considerado um relatório de alta qualidade pelo Google, é preciso que ele tenha: um caso de teste minimizado, uma análise que pode ajudar a determinar a causa da falha, um patch de correção sugerido e uma demonstração para apontar um erro com potencial para acontecer. Relatórios de linha de base, entretanto, são aqueles com apenas um caso de teste minimizado, sem estabelecer que o problema é explorável.
Fuzzers, apps e a recompensa de US$ 150 mil
O Google também dobrou a recompensa para US$ 1 mil por bugs encontrados por “fuzzers” rodando sob o Chrome Fuzzer Program. Um fuzzer é um software que automatiza o processo de inserção de dados inválidos ou aleatórios para fazer com que o software de destino colapse ou vaze a memória de maneira que possa ser explorada por um invasor. O Google executa esses fuzzers em milhares de núcleos, e quem encontra os bugs é recompensado na hora.
A recompensa máxima de US$ 150 mil é para quem pode. Por meio do Google Chrome, é preciso criar uma cadeia de exploração e comprometer um Chromebook no modo visitante. As novas recompensas estão disponíveis em toda a linha, com recompensa imediata.
O Google também aumentou os pagamentos disponíveis para os pesquisadores inscritos no Programa de Recompensa de Segurança do Google Play, oferecidos em colaboração com a HackerOne, uma plataforma de segurança de hackers. Este programa é para encontrar vulnerabilidades em aplicativos Android populares, disponíveis na Google Play. A recompensa máxima agora é de US$ 20 mil.
Os pagamentos de bugs do Google são justos?
“A recompensa para os participantes que podem comprometer um Chromebook ou um Chromebox é uma das recompensas mais altas do mercado atualmente”, diz Laurie Mercer, engenheira de segurança da HackerOne. Enviar um bug qualificado para essa recompensa “garantiria um lugar no prestigioso Google Hall of Fame”, acrescenta Mercer, que também é conhecida como a infame “0x0A List”.
Mas as recompensas do Google realmente são grandes o suficiente? Comparando com a Zerodium, uma empresa de segurança digital que se promove como a que paga melhor a pesquisadores que descobrem falhas antes das próprias companhia, sim. A empresa analisa, agrega e documenta esses dados antes de adicioná-los a uma lista de pesquisa e falhas descobertas pela Zerodium, que fornece inteligência de segurança para clientes institucionais. A empresa parece estar à altura dessa promessa, com uma recompensa de US$ 500 mil oferecida por uma combinação remota de execução de código e escalonamento de privilégio local contra o Chrome, por exemplo.
Nos mercados ilegais, falhas em sistema de empresas são leiloados por altos preços. Lá, não raro é possível conseguir valores maiores do que as recompensas. “Relatar bugs em mercados ilegais é de alto risco”, adverte Mercer. “Não há proteção legal ou porto seguro para pesquisadores nem garantias de privacidade e pagamento, e esses pesquisadores não poderiam apresentar seu trabalho em conferências, como a Defcon”, completa.
O pesquisador de segurança de aplicativos Sean Wright conclui: “Se você quer o dinheiro, vai vender para a Zerodium. Se quiser ser ético, você vai informar o Google. A menos que o Google corresponda às somas pagas pelo Zerodium, é improvável que isso mude”.
Baixe o app de Forbes Brasil na Play Store e na App Store