Google gaat de maximumbugbounty’s voor zijn eigen apps met een factor tien verhogen. Hackers die bugs melden in apps zoals Gmail, kunnen in de toekomst niet 30.000, maar tot wel 300.000 dollar krijgen. In zeer zeldzame gevallen kan daar een bonus van 50 procent bij komen.
Google schrijft in een blogpost dat het de maximale beloningen van het Mobile Vulnerability Rewards Program verhoogt. Het bedrijf begon een jaar geleden met dat programma. Het Mobile VRP is een bugbountyprogramma voor Googles eigen Android-apps, waaronder Gmail, Google Play Services en de Zoeken-app. Sinds mei vorig jaar heeft het bedrijf veertig bugbounty’s afgehandeld via dat programma en daarbij meer dan 100.000 dollar aan beloningen uitgekeerd.
Na feedback van hackers gaat Google nu enkele veranderingen doorvoeren aan het programma. De opvallendste daarvan betreft de hoogte van de beloningen. Het melden van een remote arbitrary code execution in firstpartyapps leverde altijd maximaal 30.000 dollar op. Dat wordt in de toekomst verhoogd naar 300.000 dollar. Ook de maximumbeloning voor het melden van kwetsbaarheden voor datadiefstal gaat met een factor tien omhoog, van 7500 naar 75.000 dollar voor kwetsbaarheden waarbij geen gebruikersinteractie nodig is.
Google voegt ook een ‘modifier’ toe aan het programma waarbij hackers een hogere beloning kunnen krijgen als hun bugrapportages een buitengewone kwaliteit hebben. Bij een hoge kwaliteit krijgen ze het normale bedrag, maar als hackers een mogelijke patch of een hoofdoorzaak kunnen beschrijven, kunnen ze anderhalf keer de maximale bugbountybeloning krijgen. Dat betekent dat ze voor de hoogste bug, een remote code execution zonder gebruikersinteractie, maximaal 450.000 dollar kunnen verdienen. Daar staat tegenover dat een rapport ook een lage kwaliteit kan hebben, waarvoor Google slechts de helft van de maximale beloning uitkeert.
Leave a Reply
You must be logged in to post a comment.