图片来源: Google本周宣布,自2010年建立抓漏奖励计画(Vulnerability Reward Program,VRP)以来,由于Google的作业系统与应用程序因此而变得愈来愈安全,也愈来愈不容易抓漏,因而决定提高抓漏奖金,最高增幅达到5倍,而奖金最多的则是重要产品的远端程序攻击(RCE)漏洞,最高可获得151,515美元。
除了提高原本的抓漏奖金之外,Google还将针对报告的品质祭出修正系数,倘若报告品质非常卓越(Exceptional Quality),那么奖金额度将可乘以1.5,品质好(Good Quality)的是1倍,品质差(Low Quality)的是0.5倍。意谓着若提出安全漏洞的报告内容并未符合标準,奖金可能就会被砍半。
Google将安全漏洞依产品重要性,分为从Tier0(T0)到Tier4(T4)的5种等级,其中,T0指的是XSS或绕过身分验证等、得以外洩使用者帐户或于使用者系统上执行任意程序的安全漏洞,T1则是可揭露非常敏感之用户资料的安全漏洞,而原本奖金最高的即是属于T0/T1领域的命令注射、反序列化错误及沙箱逃逸等可自远端执行程序的安全漏洞,价值31,337美元。
在新的规则中,此一T0/T1领域的远端执行程序漏洞奖金提高至101,010美元,若所提交的报告达到卓越品质,奖金即上看151,515美元,接近原本的5倍。
此外,可接管Gmail帐户的逻辑漏洞原本价值13,337美元,现在则提高到5万美元,卓越报告可增至7.5万美元;网路开发工作区IDX上的XSS漏洞奖金,也自原本的3,133.7美元提高至1万美元,卓越报告则是1.5万美元;Nest服务(home.nest.com)的身分揭露逻辑漏洞奖金,也从500美元提高至2,500美元,若属于卓越报告则达3,570美元。
Google说,其实过去他们内部就有根据漏洞报告的品质来衡量奖金,只是现在将它们公开,并公布了漏洞与奖金的计算例子,以供安全研究人员参考,进一步透明化此一抓漏奖励计画。另也针对收购6个月之后的新资产导入新的奖励等级。
近年来Google每年都颁发数百万至上千万的奖金予参与VRP的研究人员,2023年总计发出1,000万美元的奖金予68个国家的逾600名研究人员,当中有340万美元颁给了发现Android安全漏洞的研究人员,另有210万美元是奖励发现Chrome漏洞的研究人员。
