Η Google ανακοίνωσε χθες ότι θα ξεκινήσει ένα νέο bug bounty πρόγραμμα, μέσω του οποίου οι ερευνητές ασφαλείας θα μπορούν να αναφέρουν οποιαδήποτε ύποπτη δραστηριότητα καθώς και περιστατικά κατάχρησης ή κλοπής δεδομένων χρηστών της Google από τρίτες εφαρμογές.
Το όνομα του νέου bounty προγράμματος θα είναι «Developer Data Protection Reward Program (DDPRP)». Όπως προαναφέρθηκε, οι ερευνητές θα μπορούν να αναφέρουν περιπτώσεις κατά τις οποίες τρίτες εφαρμογές, που έχουν πρόσβαση στο Google API, σε εφαρμογές Android (που περιλαμβάνονται στο Play Store) και σε εφαρμογές και επεκτάσεις Chrome (που υπάρχουν στο Chrome Web Store), προσπαθούν να κάνουν κατάχρηση δεδομένων.
Το πρόγραμμα αυτό στοχεύει κυρίως στον εντοπισμό περιπτώσεων κατάχρησης ή πώλησης των δεδομένων των χρηστών χωρίς τη συγκατάθεσή τους.
Ένας δεύτερος στόχος, όμως, είναι να ανταμείψει τους ερευνητές που ανακαλύπτουν και γνωστοποιούν ύποπτες δραστηρίοτητες με επαρκή αποδεικτικά στοιχεία.
Οι ερευνητές θα είναι σε θέση να αναφέρουν τέτοια περιστατικά μέσω της σελίδας DDPRP στο HackerOne, μια bug bounty πλατφόρμα, την οποία χρησιμοποιεί η Google για την εκτέλεση ορισμένων bounty προγραμμάτων της. Η Google στοχεύει να διερευνήσει όλα τα περιστατικά κατάχρησης και να αναστείλει όλες τις επικίνδυνες εφαρμογές.
Σύμφωνα με τη Google, οι ερευνητές που θα φέρνουν έγκυρες αναφορές κατάχρησης δεδομένων θα ανταμείβονται με μεγάλα χρηματικά ποσά (έως και 50.000 $).
Ακολουθώντας το παράδειγμα του Facebook
Η Google φαίνεται ότι ακολούθησε το παράδειγμα του Facebook και του Instagram, τα οποία είχαν ξεκινήσει bug bounty προγράμματα κάποια χρόνια πριν.
Για παράδειγμα, τον Απρίλιο του 2018, μετά το σκάνδαλο Cambridge Analytica, το Facebook είχε ανακοινώσει ότι θα προσφέρει μεγάλες ανταμοιβές σε ερευνητές που θα ανακάλυπταν παρόμοιες εφαρμογές που συλλέγουν κρυφά και καταχρώνται τα δεδομένα των χρηστών της πλατφόρμας.
Μέσα στον Αύγουστο, το Facebook αποφάσισε να χρησιμοποιήσει το ίδιο πρόγραμμα και για την αναφορά περιστατικών κατάχρησης που αφορούν το Instagram.
Παρόλο που η Google δεν έχει αντιμετωπίσει κάποιο σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, αποφάσισε να ξεκινήσει αυτό το bug bounty πρόγραμμα προληπτικά. Άλλωστε, διαχειρίζεται έναν τεράστιο όγκο προσωπικών δεδομένων και είναι υπεύθυνη για την προστασία τους. Οι επιθέσεις στον κυβερνοχώρο είναι πολύ συχνό φαινόμενο και οι μεγαλύτερες εταιρείες και επιχειρήσεις έχουν πέσει θύμα αδίστακτων hackers.
Ένα περιστατικό παραβίασης, αντίστοιχο του Facebook, θα μπορούσε να προκαλέσει μεγάλο πλήγμα στη φήμη της εταιρείας.
Επίσης, το Play Store bug bounty πρόγραμμα της Google θα περιλαμβάνει πλέον οποιαδήποτε εφαρμογή Android, που έχει πάνω από 100 εκατομμύρια χρήστες. Οι ερευνητές μπορούν από τώρα να αναφέρουν στη Google τα σφάλματα που εντοπίζουν σε αυτές τις εφαρμογές. Ο κατασκευαστής του Android OS θα ανταμείβει χρηματικά τους ερευνητές που παρέχουν έγκυρες αναφορές σφαλμάτων, ακόμη και αν αυτές οι εφαρμογές δεν έχουν τα δικά τους bug bounty προγράμματα.
