聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
近日,谷歌宣布称其漏洞奖励计划 (VRP) 将绕过该公司的滥用、欺诈和垃圾信息系统的方法也纳入其中。
谷歌表示,“有效报告包括大规模绕过账户恢复系统、识别易受暴力攻击的服务、规避内容使用和分享的限制或在未支付的情况下购买物品等。”
谷歌信任和安全团队将审计报告
谷歌表示,提交给谷歌漏洞奖励计划的关于滥用上述技术的漏洞报告将由该公司的信息安全团队审计,这些专家专注于阻止并缓解谷歌产品平台上的滥用、欺诈和垃圾信息活动。他们补充表示,“该计划并不包含个体滥用实例,如违反我们的指南或策略的内容发表、发送垃圾邮件或者提供恶意软件链接等。”
有效的漏洞报告可能会引发代码修改,确保用于绕过该公司反欺诈系统的技术未来不会再遭利用。因此,如果漏洞报告关注的是用于规避谷歌平台滥用预防系统的滥用方法的具体实例,那么就应该通过具体的产品渠道如 Google+、YouTube、Gmail 和 Blogger 进行提交。
今年颁发的奖金是去年的2倍多
自2010年年起,谷歌已经向安全研究员支付1200多万美元的奖励,而超过一半的奖励集中在2019年(650万美元)。这一年的奖励金几乎是2018年(340万美元)所颁发奖励金的近2倍,几乎是VRP 计划设立以来所颁发奖励金的总和。
虽然谷歌当前支付的奖励金范围是100美元到31,337美元,但如果漏洞报告中提供了利用链,则总奖金数量会急剧增加。2019年,谷歌总计为461名安全研究员颁发奖励金。
推荐阅读
谷歌推出 GKE 开源依赖关系漏洞奖励计划
不小心发现谷歌 Firebase 消息服务的漏洞,获奖3万+美元
原文链接
https://www.bleepingcomputer.com/news/security/google-now-pays-for-bugs-used-to-bypass-its-anti-fraud-systems/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
