Всем известно, что гугл, наверное одна из первых корпораций, которая решила платить за найденные в их продуктах, баги. И, буквально, вчера гугл выделил под это один миллион долларов. Это, конечно, круто и, на первый взгляд, достойно уважения.
Но интересно насколько гугл справедлив и объективен в оценке стоимости своих уязвимостей? Казалось, если под это дело выделен целый лям баксов, то можно бы особо и не скупится. Но, как оказалось, в гугле сидят или очень жадные люди, или люди, которые не могут трезво оценить стоимость предоставленных им уязвимостей.
К примеру во сколько бы вы оценили стоимость уязвимости, которая позволила бы вам взломать половину всех пользователей планеты? А хотите узнать во сколько оценил эту уязвимость гугл?
Сегодня мой знакомый рассказал вот такую вот печальную историю, цитата:
ну как можно оценить пассивку на блоггер.ком в тысячу уе, а активку в теле письма гмаил в 500$?
То есть, для тех кто не до конца понял. За уязвимость с помощью которой можно было бы взломать и твитор, и офф страницы хрома, и червей запустить, и вообще всё что хочешь, гугл заплатил всего 1 тысячу долларов. А уязвимость, которая позволила бы угнать любой почтовый ящик на гмайле, была оценена всего в жалких 500 долларов.
Просто для сравнения, на черном рынке стоимость этих уязвимостей была бы на порядок больше. По крайней мере продать активную XSS в теле письма GMail за 3-5 тысяч долларов, не составило бы большого труда. Да и не сообщи он в гугл, с этой уязвимости, при грамотном подходе, можно было бы получить гораздо больше.
Как вы считаете, это справедливо?
Прост надо было писать в инг, а не в ру….
На самом деле и было написанно в инг. Но беда оказывается в другом. У гугла жесткая такса за уязвимости в своих сервисах. Если погуглить то можно найти от $500 до $3133.7 (хз почему такое число).
Вопрос в другом, почему эти уязвимости были оценены по минимуму? 500 баксов и 1000 за эти дырки это реально мало.
Leet (1337) — распространившийся в Интернете стиль употребления английского языка. Основные отличия — замена латинских букв на похожие цифры и символы, имитация и пародия на ошибки, характерные для быстрого набора текста, имитация жаргона хакеров и геймеров, добавление окончания z0r к словам. Используется в основном в письменном виде, некоторые слова (напр, pwn) не имеют определённого произношения.
А мне, за найденную пассивку ответили, мол, поздно милок, о дырке знаем…
Хотя и поместили на «доску почёта».
Почему то я не удивлен… Зато какие маркетинговые выкрики…
Кстати в этом году пишут, что выделили 2млн$ на гонарары, но что то факты говорят, что это всего лишь маркетинг…