Google is druk bezig met het veranderen van zijn beleid als het gaat om bughunters. Zo heeft het besloten dat over twee dagen het hele bugbountyprogramma van de Google Play Store stopt. Tegelijkertijd geeft het ook aanzienlijk hogere bedragen aan mensen die problemen opsporen in Chrome.
Het is in één keer een stuk interessanter geworden om bugs te vinden in Chrome. Als je goed bent met cybersecurity (en vooral heel tech savvy), dan kun je hier leuke bedragen mee verdienen. Natuurlijk hangt het wel van vele factoren af of je veel geld of weinig geld op je bankrekening gestort krijgt. Google betaalt voor heel ernstige problemen zelfs 250.000 dollar, wat neerkomt op dik twee ton in euro’s. Daarbij moet je wel bewijzen wat het zwakte is, dit uitvoerig beschrijven en tonen hoe mensen er misbruik van kunnen maken.
The full story of my #bugbounty journey!
Doing this since May 2021. and in this month I earned total of $19,750 (almost $20K :c)
I don't like clichés, but you should never give up when doing this job. I remember not sleeping for 2 days when I'm a beginner.
Thanks @Hacker0x01! pic.twitter.com/BXXRjcTqMQ
— Alp (@alp0x01) January 31, 2022
Het is een groot bedrag: je kunt er een klein huisje voor kopen -als die nog te vinden zijn-. Zeker vergeleken met wat Google eerst uitbetaalde is dit een enorme verbetering: het was eerst maximaal 100.115 dollar. Het schrijft: “Naarmate Chrome volwassener is geworden, is het vinden van de meest impactvolle en exploiteerbare bugs een grotere uitdaging geworden. Tegelijkertijd worden er regelmatig nieuwe functies in Chrome geïntroduceerd die kunnen leiden tot nieuwe problemen waarvan we ook willen stimuleren dat ze worden gemeld.”
Daarom verandert het zijn Chrome VRP-beloningen. Het schrijft: “Hiermee willen we een verbeterde structuur en duidelijkere verwachtingen bieden voor beveiligingsonderzoekers die bugs aan ons melden en om het melden van hoge kwaliteit en diepgaander onderzoek naar Chrome-kwetsbaarheden te stimuleren, zodat ze hun volledige impact en uitbuitbaarheidspotentieel kunnen onderzoeken.”
Een uitbuitbaarheidspotentieel: een goed woord voor galgje. Chrome wordt dit jaar 16 jaar oud en Google hoopt natuurlijk dat er in al die jaren niet te veel gekkigheden zijn geslopen. Blijkbaar worden er toch nog wel vaak dingen gevonden, want anders zou het het programma waarschijnlijk eerder dichtdoen. Dat doet het ook met het bugbountyprogramma van de Play Store. Er kwamen te weinig meldingen binnen van bugs en daarom trekt het de stekker uit het programma. Op Chrome maakt Google wel verschil tussen de beloningen en bugs: niet-opgeloste bugs en geheugencorruptieproblemen zijn gescheiden van andere soorten kwetsbaarheden. Google stelt dat het hierdoor onderzoek kan doen met meer impact op elk gebied en dat het rapportages van hogere kwaliteit ook beter wil belonen.
Almost 700 hours into bug bounties. Out of 40 programs I spent time on, I only got paid on 5.
There's a pattern I noticed and I think it's worth sharing.Here's my analysis: (a thread – 1/x)#bugbounty #bugbountytips pic.twitter.com/Ur8U9ulCzO
— Shreyas Chavhan (@shreyas_chavhan) May 22, 2024
Het klinkt altijd wel makkelijk verdiend, zo’n bugbounty, maar er gaat ontzettend veel tijd inzitten. Chrome heeft zelf ook een leger slimme mensen die tests doen, dus het zijn echt de moeilijk vindbare zaken die je als gebruiker waarschijnlijk nooit opmerkt, die je rijk kunnen maken. En spoor die maar eens op. In ieder geval maakt Google het met dit vernieuwde programma een stuk aanlokkelijker om daar ook flink mee aan de slag te gaan. Al moet wel nog maar worden bezien of er inderdaad billijk wordt omgegaan met die nieuwe beloningen: iets beloven en het ook werkelijk krijgen zijn vaak twee verschillende dingen.
