Η Google αυξάνει τις ανταμοιβές για αναφορές τρωτών σημείων σε Linux Kernel, Kubernetes, Google Kubernetes Engine (GKE) ή kCTF, δίνοντας πλέον μεγαλύτερα μπόνους για σφάλματα zero-day και εκμεταλλεύσεις που χρησιμοποιούν μοναδικές τεχνικές.
Δείτε επίσης: Google: Διόρθωσε το πρώτο Chrome zero-day bug για το 2022
Σύμφωνα με τον υπεύθυνο ευπαθειών της Google, Eduardo Vela: «Αυξήσαμε τις ανταμοιβές μας επειδή αναγνωρίσαμε ότι για να προσελκύσουμε την προσοχή της κοινότητας έπρεπε οι αμοιβές να ταιριάζουν με τις προσδοκίες τους»
«Θεωρούμε ότι η επέκταση ήταν επιτυχημένη και γι’ αυτό θα θέλαμε να γίνει ακόμη μεγαλύτερη, τουλάχιστον μέχρι το τέλος του έτους (2022).»
Αν και αρχικά ανακοινώθηκε τον Νοέμβριο ότι οι αναφορές για κρίσιμα τρωτά σημεία θα λάβουν ανταμοιβές έως και 50.337 $ ανάλογα με τη σοβαρότητά τους, η Google αύξησε τώρα τη μέγιστη ανταμοιβή στα 91.337 $, σχεδόν το διπλό ποσό.
Δείτε ακόμα: Αλλαγή στο UI του Gmail: H Google επεξηγεί πως λειτουργεί
Η απόκτηση του μέγιστου ποσού χρημάτων για μια εκμετάλλευση, εξαρτάται από διάφορες συνθήκες, όπως εάν είναι άγνωστα σφάλματα χωρίς ενημερωμένη έκδοση κώδικα ασφαλείας (Zero-day), εάν δεν απαιτούν μη προνομιούχους χώρους ονομάτων χρήστη και εάν χρησιμοποιούν νέες τεχνικές εκμετάλλευσης.
Κάθε ένα από αυτά συνοδεύεται από ένα μπόνους 20.000 $, που θα μπορούσε να ανεβάσει την αξία μιας πρώτης έγκυρης υποβολής εκμετάλλευσης στα 91.337 $.
“Αυτές οι αλλαγές αυξάνουν τα exploit 1day στα 71.337 USD (από 31.337 USD), έτσι ώστε η μέγιστη ανταμοιβή για ένα μόνο exploit να φτάνει τα 91.337 USD (από 50.337 USD)“, εξήγησε ο Vela.
Ενώ η Google δεν θα πληρώσει για διπλότυπα exploit του ίδιου ελαττώματος ασφαλείας, η εταιρεία λέει ότι θα εξακολουθούν να ισχύουν μπόνους για νέες τεχνικές εκμετάλλευσης, πράγμα που σημαίνει ότι οι ερευνητές θα μπορούσαν να λάβουν 20.000 $ για διπλότυπα.
Δείτε επίσης: Η ευπάθεια zero-day της Zimbra επιτρέπει την κλοπή email
Από τον Νοέμβριο, η Google έχει πληρώσει περισσότερα από 175.000 $ για εννέα διαφορετικές υποβολές σφαλμάτων, συμπεριλαμβανομένων πέντε zero-days και δύο 1days.
Η Google λέει ότι έχει ήδη διορθώσει τρία από αυτά τα εννέα σφάλματα: CVE-2021-4154, CVE-2021-22600 και CVE-2022-0185.
 ή kCTF, δίνοντας){kind=link}