Google và Microsoft tăng tiền thưởng khi phát hiện ra lỗi bảo mật

Hai gã khổng lồ công nghệ là Google và Microsoft đã tăng tiền thưởng cho các hacker mũ trắng khi họ phát hiện những lỗi nghiêm trọng trong các sản phẩm của họ.

Google và Microsoft tăng tiền thưởng khi phát hiện ra lỗi bảo mật

Cụ thể, Microsoft vừa tăng gấp đôi mức thưởng cao nhất của họ là từ 15.000 USD lên 30.000 USD, Google cũng tăng từ 20.000 USD lên 31.337 USD (tăng 50% và thưởng thêm 1337 USD).

Trong vài năm qua, các công ty lớn từ Apple đến PornHub và Netgear đều bắt đầu các chương trình Bug Bounty (tìm lỗi nhận thưởng) để khuyến khích các hacker mũ trắng, các nhà nghiên cứu bảo mật tìm và báo cáo một cách có trách nhiệm các lỗi trong dịch vụ và đổi lại họ sẽ nhận được tiền thưởng.

Kể từ lúc có nhiều “thợ săn tiền thưởng” tham gia vào chương trình này tại các công ty công nghệ lớn, các lỗi phổ biến và dễ dàng phát hiện đã không còn, và nếu có, nó hầu như không gây ra bất kỳ tác động nghiêm trọng nào.

Hiện hầu hết các công ty đều tập trung vào việc tìm ra các lỗi có nguy cơ cao và khó xác định, vì vậy việc tăng tiền thưởng là một động thái tưởng thưởng cho sự nỗ lực của các chuyên gia.

Google và Microsoft tăng tiền thưởng khi phát hiện ra lỗi bảo mật

Cho đến nay, Google đã đưa ra mức 20.000 USD cho lỗ hổng RCE (Remote code excution – truy cập vào máy tính từ xa và tiến hành chạy malware), 10.000 USD cho lỗi tập tin hệ thống hoặc các lỗi truy cập cơ sở dữ liệu. Nhưng những mức thưởng này đã được tăng lên lần lượt là 31,337 và 13,337 USD.

Để nhận được mức tiền thưởng tiền thưởng cao chót vót từ Google (31.337 USD), bạn cần phải tìm các lỗi như: command injections, deserialization flaws, và sandbox escapes trong các ứng dụng có lượng sử dụng lớn như Google Search, Chrome Web Store, Accounts, Wallet, Inbox, Code Hosting, Google Play, App Engine, and Chromium Bug Tracker.

Kể từ ra mắt chương trình Bug Bounty trong năm 2010, Google đã thanh toán hơn 9 triệu USD, trong đó có 3 triệu được trao năm ngoái.

Microsoft cũng tăng khoản thanh toán tiền thưởng cho lỗi từ 20.000 lên 30.000 USD cho các lỗ hổng bảo mật, bao gồm cross-site scripting (XSS), cross-site request forgery (CSRF), xâm phạm hoặc truy cập trái phép các thuê bao không được ủy quyền (đối với các dịch vụ đa thuê bao), thực hiện mã hoá phía máy chủ, và lỗi tăng quyền truy cập trong các dịch vụ Outlook và Office.

Cả hai gã khổng lồ công nghệ đang cố gắng hết sức để loại bỏ bất kỳ lỗ hổng hoặc backdoor cho phần mềm và sản phẩm của họ, tránh hacker lợi dụng và làm giúp cho người dùng an toàn hơn. Sau khi gửi lỗi và chứng minh các nguy cơ có thể xảy ra các, các chuyên gia sẽ được nhận tiền.

Theo: thehackernews