Google существенно увеличил награду за поимку багов в своих разработках; если раньше за выявление серьёзных уязвимостей компания готова была отстегнуть чуть более трёх тысяч долларов, то теперь сумма увеличилась аж до двадцати тысяч.
В рамках программы Vulnerability Reward Program технические специалисты Google за год получили более 780 сообщений о серьёзных уязвимостях и выплатили около 460 тысяч долларов в общей сложности двум сотням человек.
И вот теперь ставки повышены. Двадцать тысяч долларов будут вручаться за каждое подтверждающееся сообщение о самых серьёзных уязвимостях в продуктах Google — уязвимостях, позволяющих запускать произвольный код на удалённых системах.
Десять тысяч долларов получат те, кто продемонстрирует возможность осуществления SQL-инжекций или каких-либо эквивалентных уязвимостей, а также за сведения о багах, позволяющих обходить средства авторизации.
Прежняя высшая сумма — до 3133,7 доллара — будет вручаться за сообщения о брешах типа XSS (сross-site scripting), XSRF (cross-site request forgery) и других подобных явлениях в важных приложениях. Впрочем, суммы будут различаться в зависимости от важности приложений.
«Мы охотно дадим более высокое вознаграждение за XSS-уязвимость в Google Wallet, нежели в Google Art Project, где в целом риски для пользователей куда меньше», — говорится в официальном блоге Google.