A Google valamivel több mint tíz évvel ezelőtt indította el hibavadász programját (Vulnerability Rewards Program, VRP), amely idővel jelentősen kiszélesedett, és egyebek mellett már a Google Cloud, az Android vagy a Chrome termékek sebezhetőségeire is kiterjed. A társaság ezzel egy fontos csatornát hozott létre a biztonsági kutatóknak, akik rajta keresztül nem csak jelenteni tudják a felfedezett hibákat, de ellenszolgáltatást is remélhetnek, amiért segítenek biztonságosabbá tenni a Google ökoszisztémáját.

A Google hivatalos blogján tegnap megjelent bejegyzés szerint a VPR eddigi működése során már több mint 11 ezer bug felfedezéséért majdnem 30 millió dollárt fizetett ki több mint 2 ezer szakembernek 84 különböző országban, ami jól mutatja, milyen széles körű kezdeményezésről van szó. A VPR bevezetésének (majdnem) tizedik évfordulóján a cég egy új platform indulását is bejelentette: a bughunters.google.com oldalon összeboronálják a Google, az Android, a Chrome, a Play és a Google-termékekkel való visszaéléseket vizsgáló Abuse programokat, megkönnyítve a bugvadászoknak a problémák jelentését.

A közlemény szerint az új megoldás több interakcióra és egészséges versenyre ösztönzi a szakembereket a gamifikáción, az országonkénti ranglistákon vagy bizonyos fajta hibák lefülelésével megszerezhető díjakon és jelvényeken keresztül. Ennél azonban érdekesebbnek tűnnek a korábbinál funkcionálisabb és esztétikusabb VRP-s leaderboard listák, amelyeket a Google szerint ma már sokan használnak az álláskeresés során.

Egyre jobban elkél a segítség

A Bug Hunters oldal nagyobb hangsúlyt fektetne a tanulásra is: a hibavadászok a bejegyzés alapján fejleszthetik képességeiket az ugyancsak most bemutatott Bug Hunter University tartalmain keresztül, a publikációs folyamat áramvonalasításával pedig megkönnyítenék a hibajelentések közzétételét. A Google ezzel párhuzamosan felhívja a figyelmet a a VRP eddig csak kevéssé ismert aspektusaira is, mint amilyen az open source javítások és biztonsági kutatások, illetve az ilyen szoftverek készítésének esetleges díjazása.

A társaság a program fejlődéséről szólva azt is elárulta, hogy 20 olyan biztonsági kutató, aki sérülékenységekre hívta fel a figyelmet, azóta már a Google saját csapatát erősíti, az új platform elindításától pedig azt várják, hogy még jobban kibővítse a hibavadász közösséget, és hozzájáruljon a csatlakozó szakemberek képességeinek fejlesztéséhez is. Mindez abba a trendbe illeszkedik, ahogy a világjárvány nyomán elszaporodó fenyegetések és az IT-biztonsági csapatok túlterheltsége miatt egyre több vállalat fordul a jószándékú hekkerekhez, hogy feltárják a céges rendszerek gyenge pontjait.

Ahogy a HackerOne legutóbbi éves jelentéséből is kiderült, a hekkerek tavaly már kétszer annyi szoftveres biztonsági rést azonosítottak a biztonsági platfromon keresztül, mint egy évvel korábban. A vállalatok 30 százaléka az új helyzetben a támadások számának egyértelmű növekedéséről számolt be, és az önkéntes biztonsági szakemberek is havi szinten 28 százalékkal több szoftveres sérülékenységre bukkantak a járvány előtti szinthez képest.