La filosofía de seguridad de Google:
como proveedor de software y servicios para muchos usuarios, anunciantes y editores en Internet, Google apuesta fuertemente por ayudar a proteger su privacidad y seguridad.
Y lo hace proporcionando recompensas en efectivo (desde noviembre de 2010) para mejorar la calidad y seguridad de sus productos.
Google ofrece actualmente los siguientes programas de recompensa de seguridad:
- Programa de Recompensa de Vulnerabilidad de Google (VRP)
- Programa de Recompensa de Patch
- Ayudas a la Investigación de Vulnerabilidades
- Programa de Recompensa de Chrome
- Programa de Recompensa de Android
- *.google.com
- *.youtube.com
- *.blogger.com
Las empresas o servicios recién adquiridos están sujetos a un período de supervisión de seis meses. Los bugs reportados antes de ese periodo no califican para una recompensa.
Cualquier problema de diseño o implementación que afecta sustancialmente a la confidencialidad o integridad de los datos de usuario formará parte del programa.
Los ejemplos más comunes incluyen:
- Cross-site scripting
- Cross-site request forgery
- Mixed-content scripts
- Authentication or authorization flaws
- Server-side code execution bugs
Las recompensas por errores de clasificación van desde $100 a $20.000.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:
Category | Examples | Applications that permit taking over a Google account [1] | Other highly sensitive applications [2] | Normal Google applications | Non-integrated acquisitions and other sandboxed or lower priority applications [3] |
---|---|---|---|---|---|
Vulnerabilities giving direct access to Google servers | |||||
Remote code execution |
Command injection, deserialization bugs, sandbox escapes |
$20,000 | $20,000 | $20,000 | $1,337 - $5,000 |
Unrestricted file system or database access |
Unsandboxed XXE, SQL injection |
$10,000 | $10,000 | $10,000 | $1,337 - $5,000 |
Logic flaw bugs leaking or bypassing significant security controls |
Direct object reference, remote user impersonation |
$10,000 | $7,500 | $5,000 | $500 |
Vulnerabilities giving access to client or authenticated session of the logged-in victim | |||||
Execute code on the client |
Web: Cross-site scripting Mobile: Code execution |
$7,500 | $5,000 | $3,133.7 | $100 |
Other valid security vulnerabilities |
Web: CSRF, Clickjacking Mobile: Information leak, privilege escalation |
$500 - $7,500 | $500 - $5,000 | $500 - $3,133.7 | $100 |
Además, ofrece la opción de donar tu premio a una organización benéfica. Si lo haces, Google duplicará su donación.
Cualquier recompensa sin reclamar después de 12 meses será donada a una organización benéfica de su elección.
Google no emite recompensas a las personas que están en las listas de sanciones, o que se encuentran en los países que forman parte de las listas de sanciones: Cuba, Irán, Corea del Norte, Sudán y Siria.
¿Quién determina si el informe es elegible para una recompensa?:
El panel de recompensa se compone de los miembros del equipo de seguridad de Google.
Actualmente, los miembros permanentes son Artur Janc, Eduardo Vela Nava, Jeremy Zimmer, Martin Straka, y Michal Zalewski.
También se incorporan al equipo otros miembros de forma rotativa.
¿Cómo reportar un informe de vulnerabilidad de Google?:
Accede a la siguiente dirección: Security Bug Report
¿Qué es bughunter.withgoogle.com?:
Es el tablero de instrumentos para todos los investigadores de seguridad que participan en el Programa de Recompensa de Vulnerabilidad (VRP) de Google.
Si quieres aparecer en el salón de la fama tienes que presentar un informe de error válido.
El salón de la fama se ordenan en función de una combinación de:
- Cantidad: informes de errores válidos conducirán a una mejor clasificación. Informes falsos pueden llevar a un rango inferior.
- Gravedad: errores más graves conducen a una mejor clasificación.
Google Vulnerability Reward Program (HALL OF FAME)
Soluciones a problemas comunes de "no vulnerabilidad"::
- por robo de cuentas, accede aquí para Youtube, y aquí para las cuentas de Google (incluído Gmail).
- otros problemas de seguridad de las cuentas de Gmail, Youtube o Checkout.
- solicitudes de retirar contenidos en Search, Streetview, Maps, Youtube, Orkut, Blogger o cualquier otro producto.
- informar de malware o phishing o anuncios inapropiados o maliciosos.
- estafas, incluidas las falsas loterías y ofertas de empleo.
- para cualquier otra cosa, accede a la página de soporte de Google.
La lista completa de programas de caza de bugs de 2019::
Recientemente, una lectora del blog me ha proporcionado información valiosa de los programas de recompensas más importantes en la actualidad(Bug Bounty): La lista completa de programas de caza de bugs de 2019.
Muchas gracias Verónica :))
El constante avance de la tecnología, en los últimos tiempos, requiere de la actualización permanente de los sistemas y entornos it de una organización. La gestión de infraestructuras IT se ha convertido en el pilar fundamental para el avance de cualquier empresa. No prestarle su debida atención implica quedarse en el tiempo, y no apostar a los recursos que nos brinda la tecnología. Cloud Solutions
ResponderEliminarHola, Chema. Genial el artículo. Nuevamente, felicitaciones por tu puesto en el "ranking" californiano.
ResponderEliminarAprovecho para preguntarte qué fue lo que encontraste, cómo lo encontraste, cómo se te ocurrió reportarlo (porfis, en lenguaje "vulgar", sin mucho tecnicismo) y todo otro chisme que haga jugoso el relato.
Estar en los primeros puestos no es para cualquiera, y hay que ponderarlo.
Saluditos.
Hola Moni, qué bueno tenerte de nuevo por aqui :))
ResponderEliminarEn realidad fué fruto de la casualidad, por mi trabajo y curiosidad me gusta mucho cacharrear en la web y descubrí que cambiando algunos parámetros de algunas funciones desde el inspector de Google Chrome, podía suscribir a mi blog a quién me diera la gana con sólo conocer su dirección de email. A que mola? ;)
En cuanto lo descubrí, me puse en contacto con el equipo de Feedburner y la comunicación fué muy rápida y fluida. En unas horas habían solucionado el error.
Inicialmente consideraron que no se trataba de un bug de seguridad, más bien de abuso o spam pero finalmente el panel sí lo estimó.
Tengo que agradecer personalmente al ingeniero de software de Google M.V. (prefiero no decir su nombre en público) su amabilidad y cercanía en el proceso. De hecho, me envió una carta postal de agradecimiento a mi casa en Madrid (España) desde la sede de Google en Zurich (Suiza).
La experiencia ha sido muy gratificante!!
Saludos.
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarYa no es posible estar fuera si es que se desea ser parte del mundo social y el de los negocios.
ResponderEliminarEl Social- Media de ayer es el Business-Media de hoy.
Antes creábamos una campaña de TV y luego le agregábamos algunas piezas para "Internet". Hoy creamos piezas especificas para la red con el objetivo que se vuelvan virales y se multipliquen en la red. Luego, solo como complemento, hacemos una edición recortando algunos segundo para ponerlo en la TV.
https://vikingpressagency.com/por-que-el-marketing-digital-es-importante-para-mi-empresa/
hola buenas, me di cuenta de un error de ciber seguridad con el que se pueden rastrear ubicaciones, e direcciones ip, l forma es consiguiendo el correo electrónico personal de una persona solo el correo le das olvide mi contraseña enviar código por numero telefónico lo pones ya recuperas y llegas a su correo personal y si el atacado tiene una cuenta de twitch en un correo te manda tu ip y direcion
ResponderEliminar