Google har siden 2010 tilbudt sikkerhetsforskere dusør for funn av sårbarheter – først og fremst i selskapets egne løsninger, men senere også i programvare levert av andre, blant annet mye brukt åpen kildekode-programvare.
Men nå har selskapet støtt på et problem. Disse ordningene, kombinert med Googles egen innsats, har ifølge selskapet ført til at det har blitt vanskeligere å finne sårbarheter.
Selv om det er bra at aktører som selger eller utnytter sårbarheter nå må jobbe hardere for å finne sårbarhetene, så mener Google at det også kan være demotiverende for de som har gode hensikter med leting etter sårbarheter. Dusørene har jo bare blitt utbetalt til dem som faktisk finner noe.
Google vil derfor tilby stipend til sikkerhetsforskere som allerede har brukt mye tid på å finne sårbarheter og fortalt Google om disse, for at de skal fortsette å lete. Stipendene avhenger dog ikke at mottakerne faktisk finner noe. Stipendenes størrelse skal ligge på mellom 500 og 3133,70 dollar.
Stipendene er delt inn i tre kategorier: Granskning av nye tjenester, granskning av spesielt sensitive tjenester og grundigere granskning av sårbarheter som nylig har blitt fjernet.
Utvidet dusørordning
Siden 2010 har Google utbetalt mer enn 4 millioner dollar i dusør. I 2014 ble det utbetalt mer enn 1,5 millioner. Den største enkeltdusøren til nå har vært på 150.000 dollar. Den ble utbetalt til den gang 17 år gamle George Hotz, som samtidig ble tilbudt praksisplass ved Googles noe omstridte Project Zero. Men i alt 200 forskjellige «dusørjegere» ble belønnet for funnet av til sammen mer enn 500 sårbarheter i fjor.
I år har ordningen blitt noe utvidet, vet at Google også utbetaler dusør for sårbarheter som blir funnet i selskapets apper utgitt i Google Play og Apples App Store/iTunes.
Leave a Reply