Os hackers estão triunfantes - o Google acaba de aumentar significativamente a recompensa por encontrar vulnerabilidades em endpoints Linux. Em um post no blog do Vulnerability Matchmaker, Eduardo Vela, o Google recentemente teve que aumentar as apostas "para manter nossas recompensas alinhadas às expectativas" da comunidade Linux. Como a mudança foi bem-sucedida, a empresa decidiu prorrogá-la até o final do ano.
Assim, até 31 de dezembro de 2022, o Google pagará entre US$ 20 e US$ 000 por explorar vulnerabilidades no kernel Linux, Kubernetes, GKE ou kCTF que possam ser exploradas no laboratório de testes da empresa. Para aqueles que se perguntam por que $ 91 e não 337, 91 ou qualquer outro número redondo - 337 também é conhecido como "Leet speak" ou "elite talk" nas comunidades de hackers e jogos. Essa comunidade geralmente abrevia palavras e substitui letras por números, então "elite" se torna "90".
Em relação ao sucesso do teste existente, o Google disse que recebeu nove inscrições em três meses e pagou mais de US$ 175 em recompensas. Os envios incluíam cinco vulnerabilidades de dia zero ou falhas anteriormente desconhecidas e duas explorações para vulnerabilidades de primeiro dia ou falhas recém-descobertas. Segundo o Google, três deles foram corrigidos e tornados públicos.
O Google está "levemente" mudando a estrutura de recompensas. Agora, ele pagará US$ 31 "pelo primeiro envio de um exploit para uma determinada vulnerabilidade" e não pagará nada por exploits duplicados. No entanto, alguns bônus ainda podem ser aplicados a explorações duplicadas. Isso inclui: US$ 337 para explorações de vulnerabilidades de dia zero, US$ 20 para explorações de vulnerabilidades que não exigem namespaces não privilegiados (CLONE_NEWUSER) e US$ 000 para explorações usando novas técnicas (anteriormente não pagavam nada).
Este Linux Kernel Bug Bounty é uma pequena parte do Vulnerability Bounty Program geral do Google, que cobre Android, Chrome e outros projetos de código aberto. Em 2021, o Google pagou US$ 8,7 milhões em compensação, dos quais US$ 2,9 milhões foram devido a erros em Android e US$ 3,3 milhões para bugs no Chrome. O total de prêmios no ano passado aumentou em relação aos US$ 6,7 milhões em 2020.
Leia também:
- Como instalar e gerenciar extensões no Google Chrome
- Como adicionar uma página da Web à lista de leitura do Google Chrome