Google amplía recompensas para cazadores de fallos de seguridad

Quienes reporten una vulnerabilidad pueden optar a estímulos en dinero superiores a los 30,000 dólares de parte de Google.

Juan José CastilloJuan José Castillo  ·  septiembre 1, 2022
Compartir
Google amplía recompensas para cazadores de fallos de seguridad
Foto: Sunil Ray / Unsplash

Google y Alphabet ampliaron a los proyectos de código abierto su programa Vulnerability Reward Program (VRP). El buscador más popular del mundo y su matriz entregarán recompensas superiores a 30,000 dólares a quienes encuentren fallos de seguridad.

La Guía Central también recomienda:

El ecosistema de software de código abierto (Google OSS) incluye el software “almacenado en los repositorios públicos de las organizaciones GitHub”, informaron. Los beneficios serán extensivos a recursos de terceros, quienes deberán reportar el hecho a la compañía. “No podemos autorizarte a realizar investigaciones de seguridad de activos que pertenecen a otros usuarios y empresas en su nombre», aclaró la empresa.   

Los estímulos financieros son válidos también para plataformas como YouTube, Blogger, Verily, Onduo y Project Baseline. También califican Google Cloud Platform, las aplicaciones y extensiones desarrolladas por Google y Verily Life Sciences publicadas en Google Play, App Store o Chrome Web Store. Los dispositivos de hardware, como Home, OnHub, Verily Life Sciences y Nest también integran la lista de recursos a proteger por las recompensas del VRP.

El gigante de Mountain View citó algunos de los ejemplos más comunes de vulnerabilidades, como secuencias de comandos entre sitios y falsificación de solicitud de sitios cruzados. También mencionó guiones de contenido mixto, defectos de autenticación o autorización y errores de ejecución de código del lado del servidor.

Para quienes busquen pasarse de listos, también aclaró las condiciones de las recompensas del VRP: “No intentes colarte en las oficinas de Google”. Tampoco pruebes “ataques de phishing contra nuestros empleados”. “El alcance del programa se limita a las vulnerabilidades técnicas en las extensiones de navegador, móviles y aplicaciones web propiedad de Google”, recalcó.

Los estímulos comienzan en los 100 dólares y se vinculan con “vulnerabilidades que dan acceso al cliente o a la sesión autenticada de la víctima que ha iniciado sesión”. En cambio, los que desactiven aplicaciones que permiten apoderarse de una cuenta de Google podrán llevarse una bolsa mayor.

La Guía Central también recomienda: 

Las recompensas de 31,337 dólares en el programa VRP de Google están relacionadas a vulnerabilidades que dan acceso directo a los servidores de la firma. Entre ellos, citó “inyección de comandos, errores de deserialización y escapes de sandbox”.

Otra novedad son las recompensas por asuntos relacionados con el abuso, que van desde de 100 a 13,337 dólares. El monto “depende de la probabilidad potencial y el impacto de la técnica enviada”, enfatizó la compañía.