Google lança programa de bug bounty para softwares de código aberto

O Google ampliou seu programa de bug bounty nesta semana para incluir também os softwares de código aberto fornecidos pela companhia. Com recompensas que podem chegar a até R$ 160 mil de acordo com a gravidade das brechas encontradas, pesquisadores são convidados a explorar não apenas as aplicações da empresa, como também configurações de seus sistemas, o que inclui também a presença oficial da companhia em plataformas de terceiros.

• Participantes de bug bounty podem faturar até R$ 120 mil em menos de um ano
• Aumentam empresas e recompensas para hackers que caçam falhas em sistemas

Com isso, ficam inclusas não apenas linguagens de programação e projetos próprios, como também configurações de aplicações, regras de controle de acesso e ações em sistemas como GitHub, por exemplo. Dependências de terceiros também fazem parte do programa de caça a bugs, com a condição de que as organizações responsáveis por esses pacotes vulneráveis sejam notificadas e corrijam o problema antes de a falha ser reportada ao próprio Google.

De acordo com a empresa, as principais recompensas estão atreladas a seus projetos mais sensíveis, como Bazel, Angular, Golang, Fuchsia e buffers Protocol. Além disso, vulnerabilidades que atinjam a cadeia de suprimentos podem render as maiores recompensas, com valores que vão de US$ 3.133 (cerca de R$ 16.289 em conversão direta) até US$ 31.337 (aproximadamente R$ 162.889).

Já vulnerabilidades de produtos têm valores um pouco mais baixos, que podem partir de US$ 101, mais ou menos R$ 525 na cotação deste dia em projetos comuns até US$ 7.500 (cerca de R$ 38.985) para os principais da companhia. As demais vulnerabilidades de segurança garantem pagamentos de US$ 500 a US$ 1 mil, variando, na conversão direta, de R$ 2.599 até R$ 5.200.

No tratamento das indicações dos especialistas, o Google afirma que pode lidar com a brecha sozinho ou, também, solicitar colaboração resolver o problema. Além da recompensa em dinheiro, os pesquisadores serão reconhecidos publicamente pela empresa e terão a opção de doar o prêmio para caridade, com a companhia dobrando o valor em casos assim.

A nova expansão do programa de bug bounty do Google se une a outras atualizações recentes da mecânica, ligadas aos demais produtos da empresa. Até maio, por exemplo, estava em vigor um bônus de 50% para brechas encontradas no sistema operacional Android 13, enquanto aberturas zero-day encontradas no kernel do Linux, Kubernetes e outras plataformas tiveram as recompensas dobradas em fevereiro.

De acordo com a empresa, mais de US$ 38 milhões, ou cerca de R$ 197 milhões, já foram distribuídos para pesquisadores de segurança em 84 países, com 13 mil vulnerabilidades descobertas ao longo dos 12 anos de existência do programa. 2021 concentra o maior número de pagamentos da história do programa, com US$ 8,7 milhões, cerca de R$ 45,2 milhões concedidos a especialistas.

Fonte: Google