Google调整漏洞奖励计划，单个漏洞最高奖励7,500美元

对那些在研究 Google 众多产品漏洞的朋友（抓虫人）来说，有一个好消息，Google 已调整其漏洞奖励计划，现在更能吸引安全研究人员去抓虫了。

        将近有三年历史的 Google 漏洞奖励计划现在终于有调整了。现在开始，抓虫人

• ① 在 https://accounts.google.com 发现一个跨站点脚本漏洞（XSS），可拿到 7,500 美元，以前是 3,133.70 美元；
• ② 在 Gmail 和 Google Wallet 上发现 XSS 或其他漏洞，可拿到 7,500 美元，之前是 1,337 美元；
• ③ 在其他 Google 站点上的发现一个 Bug，可拿到 3,114.70 美元，以前是 500 美元；
• ④ 发现绕过认证和信息泄露的“重大”漏洞，可拿到 7,500 美元，以前平均是 5,000 美元。

        为什么要给抓虫人提高奖励？Google 安全团队成员 Adam Mein 和 Michal Zalewski 在一篇博文说过，“提高奖励，应当能发现 Google 产品那些难度较高的 Bug。”

        自从 2010 年 11 月开始，Google 已通过漏洞奖励计划向 250 多名安全研究人员支付超过 828,000 美元。其中有些研究人员还把奖金捐赠给福利事业。“我们的漏洞奖励计划已非常成功，在帮助我们修复更多漏洞和更好地保护用户方面已有显著效果，当然也加强 了我们和安全研究人员之间的关系，” Google 安全团队如是说。

        在提高发现漏洞的奖励之前，Google 正好在 5 月末宣布了一条更积极的披露政策，如果 Google 自家安全研究人员在其他厂商的软件由“零日”漏洞，并且厂商在七天内容没有提供对应咨询或补丁，那 Google 允许自家安全研究人员披露“零日”漏洞细节。披露政策中的这一变化，旨在给其他厂商施压，督促其更快修复漏洞。

        Google 的安全研究人员 5 月份在一篇博文中披露了一起利用零日漏洞攻击厂商（名字未透露）的事件。“我们最近发现，趁未修复漏洞，有攻击者在瞄准了某家厂商的软件。这并不是独立事件。发现类似事情，我们通常立即向受影响的厂商通报，并且和他们密切合作，来推动解决问题。”