DUSØRORDNING

Google og Microsoft gjør det mer attraktivt å lete etter sårbarheter

Har blitt vanskeligere å finne.

Både Google og Microsoft lover nå mer penger til sikkerhetsforskere som på en ansvarlig måte varsler om sårbarheter i selskapenes respektive, webbaserte produkter.
Både Google og Microsoft lover nå mer penger til sikkerhetsforskere som på en ansvarlig måte varsler om sårbarheter i selskapenes respektive, webbaserte produkter. Bilde: PantherMedia/Ryan Jorgensen
Harald BrombachHarald BrombachNyhetsleder
6. mars 2017 - 11:44

Google har i mange år tilbudt dusør til sikkerhetsforskere og andre som oppdager ukjente sårbarheter i selskapets produkter og varsler det på en ansvarlig måte. Dette gjelder ikke bare for Chrome og Android, men også for webbaserte produkter som er tilgjengelige via domenene *.google.com, *.youtube.com og *.blogger.com. 

For de webbaserte produktene har dusørene til nå vært oppad begrenset til 20 000 dollar for kritiske sårbarheter. Men nå øker Google dusørene for de mest kritiske sårbarhetene, som åpner for fjernkjøring av vilkårlig kode, men også for sårbarheter som gir ubegrenset tilgang til filsystem eller databaser. 

Vanskeligere

Den høyeste dusøren økes fra maksimalt 20 000 dollar til 31 337 dollar, men dusøren for varsling om fil- og databaseaksess økes fra 10 000 dollar til 13 337 dollar.

Dersom noen lurer på hvorfor Google har valgt akkurat disse «uvanlige» beløpsstørrelsene, kan man få en forklaring her.

I kunngjøringen skriver Google at årsaken til at dusørene nå jekkes opp, er at det over tid har blitt vanskeligere å finne alvorlige sårbarheter. Derfor må sikkerhetsforskerne bruke mer tid på å finne dem. 

– Vi ønsker å vise vår verdsettelse av den betydelige tiden forskerne bruker på ordningen vår, derfor gjør vi noen endringer i vårt VPR (Vulnerability Reward Program), skriver Josh Armour, security program manager hos Google, i et blogginnlegg.

Kina var landet med flest individuelle personer som i fjor fikk betalt av Google for å varsle selskapet om sårbarheter. <i>Foto: Google</i>
Kina var landet med flest individuelle personer som i fjor fikk betalt av Google for å varsle selskapet om sårbarheter. Foto: Google

 

Målt i antallet individuelle personer som har varslet Google om sårbarheter i enten webløsningene, Android eller Chrome, har Kina klatret forbi både Tyskland, India og USA det siste året, slik at landet nå ligger på første plass. Dette er kanskje litt spesielt, siden Google verken er representert eller offisielt tilbyr tjenester eller produkter i Kina. 

Kina ligger også på topp når det gjelder det totale, utbetalte beløpet i fjor, med 675 000 dollar, foran Russland og Polen med henholdsvis 351 000 og 341 000 dollar.

Mange av rapportene som Google mottar om sårbarheter, blir forkastet. Diagrammet inkluderer bare rapporter som kommer inn via et bestemt skjema, ikke rapporter som sendes med epost. <i>Foto: Google</i>
Mange av rapportene som Google mottar om sårbarheter, blir forkastet. Diagrammet inkluderer bare rapporter som kommer inn via et bestemt skjema, ikke rapporter som sendes med epost. Foto: Google

Microsoft

Også Microsoft har økt selskapets dusører til dem som på en ansvarlig måte varsler selskapet om sårbarheter i noen av selskapets webbaserte produkter. Samtlige dusører ble fra månedsskiftet av doblet, men denne økningen gjelder bare fra til 1. mai. 

Produktene som er omfattet av dette, er Exchange Online og Office 365 Admin Portal. Dette er svært sentrale deler i Microsofts Office 365-pakke. 

Dusørutbetalingene vil dermed ligge på mellom 1 000 og 30 000 dollar per sårbarhet i denne perioden. Mer informasjonen om hele ordningen og hvilke typer sårbarheter og produkter som er omfattet av denne, finnes på denne siden.

Les også: USA kaller dusør til hackere en kjempesuksess. Pentagon vil ha mer av det

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra