谷歌正式推出平台滥用类漏洞奖励计划

本周三，谷歌宣布漏洞奖励计划将囊括可被用于绕过公司滥用检测系统的技术。

谷歌声称自2010年推出漏洞奖励计划以来已经支付1200多万美元，其中包括为说明绕过欺诈、滥用和垃圾系统的技术漏洞报告支付的奖金。

这类报告现已添加至谷歌的漏洞奖励计划中。谷歌表示准备为影响力大且遭攻击可能性高的漏洞支付5000美元的奖励。

谷歌根据执行攻击所需的技能、攻击的幕后黑手和恶意人员发现漏洞的可能性评估来评估易遭攻击可能性大的漏洞。

谷歌指出，“处理潜在的与滥用相关的漏洞报告可能要耗费更长的时间进行评估，因为审查当前的防御机制要求调查真实攻击是如何发生的，审查攻击的影响和可能性要求研究攻击的动机类型以及针对其中一款产品的所提交攻击场景滥用者的激励。”

例如，某种技术要求攻击者通过提交大量虚假评论的方式操纵 Google Maps 列表的评分而不被公司系统检测到，那么就会获得这项与新型平台滥用相关的漏洞奖励计划的奖励。如果能大规模绕过账户恢复系统、找到易受暴力攻击的系统、绕过内容使用和分享限制条件或在无需付款的情况下购得商品，那么研究人员也可获得奖励。

谷歌信任和安全团队的成员在博客文章中指出，“有效报告旨在改变产品的代码，而不是删除单个内容。此计划不包括个别滥用行为，如发布违反我们指南或政策的内容、发送垃圾邮件或提供恶意软件链接等。”

本文由360代码卫士翻译自SecurityWeek

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。