Gli hacker sono trionfanti: Google ha appena aumentato in modo significativo la ricompensa per la ricerca di vulnerabilità negli endpoint Linux. In un post sul blog di Vulnerability Matchmaker, Eduardo Vela, Google ha recentemente dovuto alzare la posta "per mantenere i nostri premi in linea con le aspettative" della comunità Linux. Poiché il trasferimento ha avuto successo, l'azienda ha deciso di prorogarlo fino alla fine dell'anno.
Pertanto, fino al 31 dicembre 2022, Google pagherà tra $ 20 e $ 000 per sfruttare le vulnerabilità nel kernel Linux, Kubernetes, GKE o kCTF che possono essere sfruttate nel laboratorio di test dell'azienda. Per coloro che si chiedono perché $ 91 e non 337, 91 o qualsiasi altro numero tondo - 337 è anche noto come "Leet speak" o "elite talk" nelle comunità di hacking e gioco. Questa comunità spesso abbrevia le parole e sostituisce le lettere con i numeri, quindi "elite" diventa "90".
Per quanto riguarda il successo del test esistente, Google ha affermato di aver ricevuto nove domande in tre mesi e di aver pagato più di $ 175 in premi. Le richieste includevano cinque vulnerabilità zero-day o difetti precedentemente sconosciuti e due exploit per vulnerabilità del primo giorno o difetti scoperti di recente. Secondo Google, tre di loro sono state patchate e rese pubbliche.
Google sta cambiando "leggermente" la struttura dei premi. Ora pagherà $ 31 "per la prima spedizione di un exploit per una determinata vulnerabilità" e non pagherà nulla per exploit duplicati. Tuttavia, alcuni bonus possono ancora essere applicati agli exploit duplicati. Questi includono: $ 337 per exploit per vulnerabilità zero-day, $ 20 per exploit per vulnerabilità che non richiedono spazi dei nomi utente non privilegiati (CLONE_NEWUSER) e $ 000 per exploit che utilizzano nuove tecniche (in precedenza non si pagava nulla).
Questa taglia sui bug del kernel Linux è una piccola parte del programma generale di ricompensa delle vulnerabilità di Google, che copre Android, Chrome e altri progetti open source. Nel 2021, Google ha pagato 8,7 milioni di dollari in premi, di cui 2,9 milioni dovuti a errori Android e 3,3 milioni di dollari per bug in Chrome. I premi totali dello scorso anno sono aumentati rispetto ai 6,7 milioni di dollari del 2020.
Leggi anche:
- Come installare e gestire le estensioni in Google Chrome
- Come aggiungere una pagina web all'elenco di lettura di Google Chrome