Hacker triumphieren - Google hat gerade die Belohnung für das Auffinden von Schwachstellen in Linux-Endpoints deutlich erhöht. In einem Beitrag im Blog von Vulnerability Matchmaker, Eduardo Vela, musste Google kürzlich den Einsatz erhöhen, „um unsere Belohnungen mit den Erwartungen der Linux-Community in Einklang zu halten“. Da der Umzug erfolgreich war, entschied sich das Unternehmen, ihn bis Ende des Jahres zu verlängern.
So zahlt Google bis zum 31. Dezember 2022 zwischen 20 und 000 US-Dollar für das Ausnutzen von Schwachstellen im Linux-Kernel, Kubernetes, GKE oder kCTF, die im Testlabor des Unternehmens ausgenutzt werden können. Für diejenigen, die sich fragen, warum 91 $ und nicht 337, 91 oder irgendeine andere runde Zahl – 337 ist in den Hacking- und Gaming-Communities auch als „Leet Speak“ oder „Elite Speak“ bekannt. Diese Community kürzt Wörter oft ab und ersetzt Buchstaben durch Zahlen, sodass aus „elite“ „90“ wird.
In Bezug auf den Erfolg des bestehenden Tests sagte Google, dass es innerhalb von drei Monaten neun Bewerbungen erhalten und mehr als 175 US-Dollar an Belohnungen ausgezahlt habe. Die Einreichungen umfassten fünf Zero-Day-Schwachstellen oder zuvor unbekannte Schwachstellen und zwei Exploits für Ersttags-Schwachstellen oder neu entdeckte Schwachstellen. Laut Google wurden drei davon gepatcht und veröffentlicht.
Google ändert die Belohnungsstruktur „leicht“. Es zahlt jetzt 31 US-Dollar „für die erste Lieferung eines Exploits für eine bestimmte Schwachstelle“ und zahlt nichts für doppelte Exploits. Einige Boni können jedoch immer noch für doppelte Exploits gelten. Dazu gehören: 337 US-Dollar für Exploits für Zero-Day-Schwachstellen, 20 US-Dollar für Exploits für Schwachstellen, die keine unprivilegierten Benutzernamensräume erfordern (CLONE_NEWUSER) und 000 US-Dollar für Exploits, die neue Techniken verwenden (bisher nichts bezahlt).
Dieses Linux-Kernel-Bug-Bounty ist ein kleiner Teil des gesamten Vulnerability-Bounty-Programms von Google, das Folgendes abdeckt Android, Chrome und andere Open-Source-Projekte. Im Jahr 2021 zahlte Google 8,7 Millionen US-Dollar an Entschädigungen, wovon 2,9 Millionen US-Dollar auf Fehler zurückzuführen waren Android und 3,3 Millionen US-Dollar für Fehler in Chrome. Die Gesamtprämien stiegen im vergangenen Jahr von 6,7 Millionen US-Dollar im Jahr 2020.
Lesen Sie auch:
- So installieren und verwalten Sie Erweiterungen in Google Chrome
- So fügen Sie eine Webseite zur Google Chrome-Leseliste hinzu