谷歌扩展漏洞赏金计划

原文地址：https://www.hackeye.net/securityevent/15658.aspx

谷歌周三宣布扩展漏洞赏金计划，以减少滥用本平台检测系统缺陷的情况。

自2010年以来，谷歌的漏洞奖励计划已经为研究人员提供了超过1200万美元的资金，并创建了一个以谷歌为中心的安全社区。在过去的两年中，这些奖励中的一部分用于错误报告，这些报告不是严格的安全漏洞，而是允许第三方成功绕过谷歌的滥用，欺诈和垃圾邮件系统的技术。

这些类型的报告现已正式添加到谷歌的bug赏金计划中。谷歌表示准备为高影响和高概率问题支付高达5,000美元。谷歌会根据攻击所需的技术技能，攻击的可能动机以及恶意行为人发现漏洞的可能性来评估概率。

“处理潜在滥用相关漏洞的报告可能需要更长时间才能进行评估，因为审查我们目前的防御机制需要调查现实生活中的攻击方式，并审查影响和可能性，需要研究滥用者的动机类型和激励措施。针对我们的某个产品提交了攻击情景。”

例如，允许攻击者通过提交大量虚假评论来操纵Google地图列表的评分得分而不被公司系统检测到的技术将有资格获得新平台滥用类别的奖励。研究人员还可以获得大规模绕过帐户恢复系统的奖励，发现容易受到暴力攻击的系统，绕过内容使用和共享限制，或者无需付费即可从Google购买商品。

“有效报告往往会导致产品代码发生变化，而不是删除单个内容，”Google的Trust＆Safety团队成员在博客文章中写道。“此计划不包括个别滥用行为，例如发布违反我们的指南或政策的内容，发送垃圾邮件或提供恶意软件链接。”