O Google anunciou uma expansão do programa de recompensas que paga profissionais por informações sobre vulnerabilidades: agora a iniciativa passa a incluir todos os aplicativos cadastrados na Play Store que alcançaram a marca de 100 milhões de instalações.
Os programas de recompensa visam remunerar especialistas em segurança que encontram falhas e confirmam a viabilidade de um ataque. Se encontradas as brechas, essas serão repassadas aos desenvolvedores dos aplicativos e, caso o problema não seja solucionado, o app pode ser removido da loja.
Em 2017, o Google criou o programa de recompensas (ou “Bug Bounties”, como são chamados em inglês) da Google Play e contemplava apenas aplicativos específicos. Com o anúncio, qualquer app com mais de 100 milhões de downloads será incluído no programa.
Segundo a companhia, a finalidade do projeto é proteger usuários de aplicativos populares que não dispõem de programas de recompensa próprios; além de atualizar o banco de dados do programa de Aprimoramento de Segurança de Apps com as novas vulnerabilidades encontradas.
Recompensa por denúncias de abuso de dados
O Google também anunciou o lançamento de um programa de recompensas que visa descobrir aplicativos, serviços e extensões do Chrome que captam dados de maneira indevida, sem informar ao usuário, ou que utilizam métodos proibidos pelas políticas do Google.
Um dos principais exemplos de abuso de dados é o caso da Cambrigde Analytica, que gerou uma multa de US$ 5 bi ao Facebook.
Plataforma hackerOne
Os programas de recompensa de falhas do Google Play e de Proteção de Dados são oferecidos por meio da plataforma hackerOne, que atende diversas organizações e atua como uma “central” para essas recompensas.
Nesta semana, a hackerOne divulgou que seis pesquisadores já contribuíram e receberam mais de US$ 1 milhão cada. No total, foram pagos US$ 62 milhões (cerca de R$ 255 milhões) em recompensas por mais de 123 mil vulnerabilidades distribuídas em mais de 1.400 programas de recompensas.
O programa de recompensas principal do Google, chamado VRP, é gerenciado internamente pela empresa, sem intermédio da hackerOne.
No caso de programas do Google na hackerOne, os pagamentos são, em média, de mil dólares, mas podem chegar a US$ 5 mil (cerca de R$ 20 mil). Esse valor pode ser ainda maior com a recente expansão anunciada.
Já a recompensa por denúncias de abuso de dados é nova e as primeiras contribuições foram avaliadas em US$ 500. Segundo o Google, um relato de alta qualidade pode valer até US$ 50 mil (cerca de R$ 200 mil).
Fonte: G1
Tags: