Всем известно, что гугл, наверное одна из первых корпораций, которая решила платить за найденные в их продуктах, баги. И, буквально, вчера гугл выделил под это один миллион долларов. Это, конечно, круто и, на первый взгляд, достойно уважения.

Но интересно насколько гугл справедлив и объективен в оценке стоимости своих уязвимостей? Казалось, если под это дело выделен целый лям баксов, то можно бы особо и не скупится. Но, как оказалось, в гугле сидят или очень жадные люди, или люди, которые не могут трезво оценить стоимость предоставленных им уязвимостей.

К примеру во сколько бы вы оценили стоимость уязвимости, которая позволила бы вам взломать половину всех пользователей планеты? А хотите узнать во сколько оценил эту уязвимость гугл?

Сегодня мой знакомый рассказал вот такую вот печальную историю, цитата:

ну как можно оценить пассивку на блоггер.ком в тысячу уе, а активку в теле письма гмаил в 500$?

То есть, для тех кто не до конца понял. За уязвимость с помощью которой можно было бы взломать и твитор, и офф страницы хрома, и червей запустить, и вообще всё что хочешь, гугл заплатил всего 1 тысячу долларов. А уязвимость, которая позволила бы угнать любой почтовый ящик на гмайле, была оценена всего в жалких 500 долларов.

Просто для сравнения, на черном рынке стоимость этих уязвимостей была бы на порядок больше. По крайней мере продать активную XSS в теле письма GMail за 3-5 тысяч долларов, не составило бы большого труда. Да и не сообщи он в гугл, с этой уязвимости, при грамотном подходе, можно было бы получить гораздо больше.

Как вы считаете, это справедливо?