Nuevo programa de recompensas por encontrar fallos en Web Apps de Google

Google acaba de presentar su nuevo programa de recompensas para que los usuarios e investigadores de seguridad ofrezcan su experiencia a la compañía. De esta forma, Google pagará una cierta cantidad de dinero a quien reporte vulnerabilidades graves de sus servicios más populares: google.com, youtube.com, blogger.com y orkut.com. Como vemos excluyen Android, Picasa o Google Desktop entre otros.

Las vulnerabilidades que entran dentro del programa son las del tipo cross-site scripting (XSS), cross-site request forgery (CSRF), cross-site script inclusion (XSSI), así como también bugs que permitan espiar a terceros y la ejecución de código desde servidor. No es una lista definitiva ya que, en general, cualquier vulnerabilidad que afecte a la confidencialidad e integridad de los datos de usuario puede ser recompensada.

Los únicos requisitos son no utilizar aplicaciones automatizadas para probar vulnerabilidades y utilizar las cuentas de usuario propias para encontrarlas, no unas creadas para este propósito. Las recompensas son similares a las del programa de Chromium, es decir, 500 $ como recompensa base y si la vulnerabilidad es realmente grave, sería de 3.133,7 $ (elite).

Los informes, enviados directamente a Google a través del email security@google.com, serán revisados por un grupo de miembros del Google Security Team: Chris Evans, Neel Mehta, Adam Mein, Matt Moore y Michal Zalewski, entre otros. El programa no incluye a menores de edad, lo que excluye por ejemplo al chico que recibió recientemente una prima de 3.000 dólares por parte de Mozilla por una tarea similar.