Google | Security Reward Programs

Google | Security Reward Programs

Google mantiene una relación duradera y cercana con la comunidad de seguridad. Parte de esta relación implica proporcionar recompensas en efectivo por investigaciones de seguridad de calidad que identifiquen vulnerabilidades de seguridad en sus productos o servicios, o mejoras proactivas de seguridad para productos de código abierto.

En principio, cualquier servicio web propiedad de Google que utiliza datos de usuario razonablemente sensibles está dentro del alcance. Esto incluye prácticamente todo el contenido en los siguientes dominios:

• *.google.com
• *.youtube.com
• *.blogger.com

Los errores en Google Cloud Platform, las aplicaciones y extensiones desarrolladas por Google (publicadas en Google Play, en iTunes o en Chrome Web Store), así como algunos de nuestros dispositivos de hardware (Home, OnHub y Nest) también serán elegibles. Consulte nuestras Android Rewards y Chrome Rewards para conocer otros servicios y dispositivos que también están dentro del alcance.

Vulnerabilidades que califican:

Es probable que cualquier problema de diseño o implementación que afecte sustancialmente la confidencialidad o integridad de los datos del usuario esté dentro del alcance del programa:

• Cross-site scripting
• Cross-site request forgery
• Mixed-content scripts
• Authentication or authorization flaws
• Server-side code execution bugs

¡Nuevo! Además, los reportes relacionados con el abuso también están dentro del alcance de este programa si el escenario de ataque reportado muestra un problema de diseño o implementación en un producto de Google que podría provocar un daño significativo.

Un ejemplo de una metodología relacionada con el abuso sería una técnica mediante la cual un atacante puede manipular el puntuaje de calificación de una lista en Google Maps al enviar un volumen suficientemente grande de críticas falsas que no son detectadas por nuestros sistemas de abuso.
Sin embargo, reportar un negocio específico con probables calificaciones falsas no calificaría.

Actualmente, Google ofrece los siguientes programas de recompensas de seguridad:

• Google Vulnerability Reward Program (VRP)
• Patch Reward Program
• Vulnerability Research Grants
• Chrome Reward Program
• Android Reward Program
• Google Play Security Reward Program

Recompensas por vulnerabilidades de seguridad

¡Nuevo! Las vulnerabilidades en Google Cloud Platform también son elegibles para un premio adicional de $100,000

Las recompensas por errores de clasificación van desde $100 hasta $31.337.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Category	Examples	Applications that permit taking over a Google account	Other highly sensitive applications	Normal Google applications	Non-integrated acquisitions and other sandboxed or lower priority applications
Vulnerabilities giving direct access to Google servers
Remote code execution	Command injection, deserialization bugs, sandbox escapes	$31,337	$31,337	$31,337	$1,337 - $5,000
Unrestricted file system or database access	Unsandboxed XXE, SQL injection	$13,337	$13,337	$13,337	$1,337 - $5,000
Logic flaw bugs leaking or bypassing significant security controls	Direct object reference, remote user impersonation	$13,337	$7,500	$5,000	$500
Vulnerabilities giving access to client or authenticated session of the logged-in victim
Execute code on the client	Web: Cross-site scripting Mobile: Code execution	$7,500	$5,000	$3,133.7	$100
Other valid security vulnerabilities	Web: CSRF, Clickjacking Mobile: Information leak, privilege escalation	$500 - $7,500	$500 - $5,000	$500 - $3,133.7	$100

Cuantías de recompensa por metodologías relacionadas con el abuso

¡Nuevo! Las recompensas por metodologías relacionadas con el abuso se basan en una escala diferente y van desde USD $100 hasta $5,000. El monto de la recompensa por estos errores relacionados con el abuso dependerá del impacto de la técnica presentada.

Además, ofrece la opción de donar tu premio a una organización benéfica. Si lo haces, Google duplicará su donación.
Cualquier recompensa sin reclamar después de 12 meses será donada a una organización benéfica de su elección.

Google no emite recompensas a las personas que están en las listas de sanciones, o que se encuentran en los países que forman parte de las listas de sanciones: Cuba, Irán, Corea del Norte, Sudán y Siria.

Fuente: https://www.google.com/about/appsecurity/reward-program/