bezpieczeństwo Google
4

Nastolatek dostał 36 000 dolarów od Google. Wystarczy na „dobry start”

Zakładam jednak, że ten nastolatek i bez takiej gratyfikacji świetnie poradziłby sobie w świecie IT. Ezequiel Pereira z Urugwaju musi być z siebie obecnie bardzo zadowolony - okazuje się, że otrzyma od Google aż 36 000 dolarów za znalezienie i opisanie błędu w ramach programu bug bounty. Co ciekawe, to nie pierwszy raz, gdy nastolatek znalazł lukę w popularnym oprogramowaniu.

Pierwszy komputer otrzymał jako dziesięciolatek, a już rok później rozpoczął programowanie, równolegle z nauką w szkole. Po kilku latach udało mu się opanować co popularniejsze języki programowania – samemu. Brał udział w wielu konkursach poświęconych temu zagadnieniu – jeden z nich pozwolił mu nawet na wyjazd do Mountain View, aby odwiedzić główną siedzibę Google.

Jeszcze w trakcie nauki pierwszych języków programowania odkrył, że całkiem dobrze idzie mu wykrywanie błędów w oprogramowaniu. Jego pierwsze „znalezisko” zostało wycenione na 500 dolarów i oczywiście pobudziło to jego ciekawość. Warto wspomnieć, iż w zeszłym roku nastolatek zgłosił Google pewien błąd i otrzymał za to… 10 000 dolarów, z których część przeznaczył na opłaty rekrutacyjne na uniwersytety w USA. Niestety, żadna ze szkół nie odpowiedziała pozytywnie na jego wnioski – obecnie studiuje nauki informatyczne w jego rodzinnym mieście – Montevideo.

36 000 dolarów od Google? Nie w kij dmuchał

Jak wspomnieliśmy, to nie pierwszy błąd znaleziony przez Pereirę. Właściwie, to już… piąta luka, która została zaakceptowana przez Mountain View, zgłoszeń było zapewne dużo więcej, ale mogły one nie spełniać niektórych warunków programu bug bounty. Najnowszy błąd jest nie tylko najpoważniejszy, ale i „najdroższy” w historii chłopaka: jak wskazuje jego opis przekazany Google, we wprawnych rękach mogło dojść nawet do poważnego wycieku danych wewnątrz Google. Cyberprzestępca, który wykorzystałby lukę mógłby wprowadzać zmiany do wewnętrznych systemów zarządzających produktami oraz usługami Google.

36 000 za wskazanie błędu Googlowi

Tylko w zeszłym roku Google przeznaczyło na nagrody dla „łowców błędów” aż 2,9 miliona dolarów przekazane 274 różnym ekspertom. Najwyższa nagroda wyniosła 112 500 dolarów i opisaliśmy ją szerzej na Antywebie – serdecznie polecamy.

Programy bug bounty to niezwykle atrakcyjna forma podnoszenia bezpieczeństwa popularnych infrastruktur – nie tylko dla ich twórców, ale i dla osób posiadających wysokie kompetencje w zakresie testowania oprogramowania / cyberbezpieczeństwa. Nie dość, że firmy nie muszą angażować dodatkowych pracowników do znajdowania błędów, to dodatkowo mogą odwieść niektórych cyberprzestępców od użycia znalezionych luk w niekoniecznie dobrych celach. Bezpieczniej przecież jest zgłosić błąd i dostać absolutnie legalną nagrodę, niż wykraść dane i jeżeli coś pójdzie nie tak: zostać namierzonym i skazanym. Google uzależnia wysokość nagród przede wszystkim od tego, jak poważny jest błąd i jakiego dokładnie produktu dotyczy. Zgłaszając cokolwiek gigantowi należy pamiętać o tym, by nie przekazywać informacji o podatności nigdzie indziej.