Saiba como se tornar um ‘caçador de bugs’ do Google

REDAÇÃO OLHAR DIGITAL 01/02/2017 GOOGLES EGURANÇA

Já dissemos no Olhar Digital que o Google pagou mais de R$ 3 milhões em 2016 a quem conseguiu achar vulnerabilidades e defeitos em seus produtos. De acordo com o programa de recompensas da empresa, é possível ganhar mais de R$ 60 mil por uma única falha encontrada. Além do dinheiro, os caçadores de bugs serão mencionados no “Hall da Fama” da empresa.

Mas como se tornar um “caçador de bugs”? Listamos algumas dicas para quem se interessou pela atividade. Confira:

Serviços incluídos no programa

Segundo o Google, qualquer serviço da web pertencente à empresa que manipule dados sensíveis do usuário entra no programa. Isso inclui sites como o google.com, o youtube.com e o blogger.com, além de apps desenvolvidos pela gigante de buscas e também extensões na Web Store do Chrome.

Não participam os serviços da companhia que estejam hospedados em sites de terceiros, nem os que se enquadrem em aquisições recentes.

“Por favor, não tente se acessar os escritórios do Google, nem ataques de phishing contra nossos funcionários. Não tente realizar ataques de DoS, aproveitar técnicas de black hat, enviar spam ou fazer outras coisas igualmente questionáveis”, pede o Google.

Reportando um bug

Reprodução

Se você encontrou uma falha e deseja reportá-la ao Google, deve preencher este formulário. A página pede que o usuário identifique o tipo de problema encontrado e explique como ele funciona. Se o sistema acreditar que se trata realmente de um bug, a empresa entrará em contato com quem o encontrou.

De acordo com a equipe de segurança da empresa, 90% das indicações recebidas descrevem problemas que não são vulnerabilidades, apesar de se parecerem com uma.

Recompensas

Veja quanto vale cada problema encontrado

Categoria Exemplos Aplicativos que permitem assumir uma conta do Google Outras aplicações altamente sensíveis Aplicações do Google Aquisições não integradas e outras aplicações em zonas restritas ou de menor prioridade
Vulnerabilidades que dão acesso direto aos servidores do Google
Execução remota de código Injeção de comando, erros de desserialização, escapes de sandbox US$ 20.000 US$ 20.000 US$ 20.000 US$ 1.337 – US$ 5.000
Sistema de arquivos irrestritos ou acesso a banco de dados Unsandboxed XXE, SQL injection US$ 10.000 US$ 10.000 US$ 10.000 US$ 1.337 – US$ 5.000
Erros de falha de lógica que vazam ou ignoram controles de segurança significativos Referência de objeto direta, representação remota de usuário US$ 10.000 US$ 7.500 US$ 5.000 US$ 500
Vulnerabilidades que dão acesso ao cliente ou à sessão autenticada da vítima conectada
Executar código no cliente Web : Cross-site scripting
Mobile / Hardware : Execução de código
US$ 7.500 US$ 5.000 US$ 3,133.7 US$ 100
Outras vulnerabilidades de segurança válidas Web : CSRF, Clickjacking
/ Hardware Móvel : vazamento de informações, escalação de privilégios
US$ 500 – US$ 7.500 US$ 500 – US$ 5.000 US$ 500 – US$ 3,133.7 US$ 100

:

Todas as regras do programa podem ser encontradas de maneira detalhada aqui.

Deixe um comentário sobre a notícia!