Компания Google расширила свою программу по поиску багов, включив в нее борьбу с нежелательным поведением пользователей. Теперь багхантеры смогут получить награду за описание методов, которые способствуют мошенничеству, воровству аккаунтов, рассылке спама и иным злоупотреблениям интернет-сервисами.

О нововведении сообщили в корпоративном блоге инженер-разработчик Android-подразделения Эрик Браун (Eric Brown) и программный менеджер Марк Хенсон (Marc Henson). По их словам, Google регулярно получает отчеты о проблемах безопасности, которые технически нельзя считать уязвимостями. В то же время такие сценарии представляют угрозу для пользователей, поэтому теперь руководство официально включает их в программу.

Авторы публикации уточнили, какую информацию компания хотела бы получить от багхантеров.

«Это техники массовых атак на системы для восстановления аккаунтов, уязвимости сервисов перед брутфорсом, обход ограничений на использование и распространение контента или приобретение товаров в магазине Google без оплаты», — рассказали эксперты.

Отмечается, что корпорацию интересуют способы манипуляций с кодом, а не удаление отдельных данных. Программа также не охватывает единичные случаи злоупотреблений, как то: публикация недопустимых материалов, распространение спама или вредоносных ссылок.

Информацию о подобных инцидентах специалисты просят направлять в соответствующие службы каждого отдельного сервиса — YouTube, Gmail и т. д. Такие отчеты попадают экспертам команды Trust&Safety, которые занимаются вопросами частных нарушений.

Журналисты онлайн-издания ZDNet отмечают, что теоретически нововведения могут охватывать все продукты интернет-гиганта, включая разработки для умных домов, облачные решения и расширения для браузера.

Компания пока не уточняет, по какому тарифу будут оцениваться отчеты о новых типах уязвимостей. По правилам багхантинговой программы Google, выплаты участникам колеблются от $100 до более чем $31 тыс. за брешь. В отдельных случаях корпорация предлагала награды за особо опасные уязвимости, и цифры доходили до $200 тыс.

Предыдущее расширение bug bounty инициативы Google касалось мобильных продуктов. Эти меры были направлены на безопасность пользователей официального магазина приложений Google Play, куда нередко попадает зловредное ПО.

Категории: Кибероборона, Мошенничество