Google espande ufficialmente il suo programma di caccia alle vulnerabilità includendo abusi, frodi e spam

Roberto Artigiani
Roberto Artigiani
Google espande ufficialmente il suo programma di caccia alle vulnerabilità includendo abusi, frodi e spam

Dal 2010 Google ha pagato più di 12 milioni di dollari tramite il suo programma di caccia alle vulnerabilità. L'iniziativa, chiamata Vulnerability Rewards Program (VRP), finora ha raccolto non solo segnalazioni di falle alla sicurezza, ma anche su tecniche che permettono a malintenzionati di scavalcare alcune limitazioni nel tentativo di abusare dei sistemi, portare avanti vere e proprie frodi o più semplicemente campagne di spam.

Finora report su questi tipi di vulnerabilità sono state accettati pur non essendo ufficialmente incluse nello scopo del programma. Ora però Google, riconoscendo la validità delle questioni sollevate, ha deciso di formalizzare la loro inclusione tra gli obiettivi del VRP. Chiaramente non si sta parlando di specifici contenuti che violano le policy - questo tipo di segnalazioni devono continuare ad essere inoltrate alla piattaforma interessata - ma di sfruttamento sistematico di una falla del sistema.

Per chiarezza BigG riporta alcuni esempi: vulnerabilità che espongono un servizio ad attacchi di forza bruta, che permettono di scavalcare i sistemi di recupero delle informazioni di un account o le restrizioni sui contenuti oppure che consentono di effettuare acquisti online sui sistemi Google senza pagare.

Se vi siete imbattuti in situazioni simili vi consigliamo di controllare le regole del programma prima di procedere alla segnalazione.

Fonte: Google
Mostra i commenti