Google beloont hacker alsnog voor Chrome OS-exploit
Google heeft een beloning van 40.000 dollar uitbetaald aan de hacker die opereert onder de bijnaam Pinkie Pie. Hij zou als enige tijdens de Pwnium-hackwedstrijd een werkende exploit hebben ingediend voor het op de Chrome-browser gebaseerde besturingssysteem.
Kort na afloop van de Pwnium 3-wedstrijd zou een volledig gepatchte Chromebook, een Series 5 550 van Samsung, de aanvallen van hackers hebben overleefd. Firefox, Chrome, Internet Explorer 10, Java, Adobe Flash en Adobe Reader werden wel gekraakt. Google hield echter bij deze mededeling een slag om de arm en liet weten dat het nog een aantal inzendingen zou bekijken.
Na een evaluatie blijkt alleen een hacker met alias Pinkie Pie een deels werkende exploit te hebben ingediend bij Google, zo schrijft het bedrijf op zijn Chromium-blog. Daarvoor heeft hij 40.000 dollar aan prijzengeld ontvangen. Google omschrijft een plausibele bug in videoparsing, evenals een bug in de onderliggende Linux-kernel en in een configuratiebestand. De gevonden bugs zouden inmiddels in Chrome OS zijn gedicht.
Pinkie Pie is een bekende bij het opsporen van fouten in Google-software. De hacker wist in voorgaande Pwnium-wedstrijden al enkele honderdduizenden dollars op te strijken. Google stimuleert hackers niet alleen via evenementen als Pwnium om kwetsbaarheden in zijn software te melden. Zo heeft het bedrijf het Chromium Vulnerability Reward Program lopen, waarbij bugs en zero-day-exploits in alle Chrome-producten aangemeld kunnen worden, in ruil voor een mogelijke beloning.
Reacties (31)
[Reactie gewijzigd door W4RH34D op dinsdag 19 maart 2013 15:37]
Ze zullen ook zelf mensen in dienst hebben maar ja die weten ook niet alles
Zo hebben ze constant een hoop mensen die verschillende kennis hebben, en ook verschillende dingen uitproberen.
Wie weet proberen ze dat wel, maar ik kan me zo voorstellen dat die er geen zin in heeft.Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
En 't is natuurlijk ook een soort marketing-uiting van Google: ze tonen hiermee aan dat het weliswaar moeilijk, maar niet onmogelijk is om lekken te vinden, en dat je er bovendien niet verkeerd voor wordt beloond.
Daar komt dan nog bij in dit soort competities dat als Jantje em eerder indient dan Pietje, dat Pietje waarschijnlijk gewoon pech heeft. Voor een goed beeld zou je iets van een gemiddelde moeten zien te vinden. Er doen veel meer mensen aan mee dan alleen Pinky Pie natuurlijk en de rest heeft gewoon een hoop tijd verspild (leuk voor hobby wellicht - geen inkomsten echter, voor Google is het wel prettig natuurlijk, al die mensen hebben wel 'consultancy' geleverd maar krijgen geen geld).
Voor Google is het een heel leuk concept dus en er komen veel mensen op af, het systeem zelf is wel erg degelijk wat dat betreft. Veel exposure, alleen kosten bij daadwerkelijk aangeleverde dingen.
Wellicht dat onze overheid tegen z'n IT leveranciers ook eens gewoon moet zeggen dat ze niet betaald krijgen als het niet werkt. Heb dat altijd raar gevonden in deze industrie. Zeggen dat je iets kan maken, 4 jaar en 5 miljard verder roepen dat niet kan, maar wel die 5 miljard mogen houden en zelfs mee mogen naar de tekentafel voor het volgende (waarschijnlijk ook falende) project. En wij maar betalen...
. (Pwnium bestaat vanaf 2007)Ik weet niet wat "enkele" in "enkele tonnen" precies is maar als "enkele" twee is en het is je inkomen vanaf 2007 dan kom je ruim onder modaal uit.
edit: lees verderop dat hij een werkgever heeft dus leuke bijverdienste.
[Reactie gewijzigd door iw@n op woensdag 20 maart 2013 13:23]
" "Pinkie Pie," who asked to remain anonymous because he had not been authorized by his employer to participate in the contest, said he chained three different vulnerabilities to build an exploit to escape the Chrome sandbox."
[Reactie gewijzigd door Daandatbeekje op dinsdag 19 maart 2013 19:16]
Als voorbeeld, 1000 man doet mee aan de competitie, 2 vinden een lek. Kost google mischien 200.000 in een jaar
Maar 1000 man op de loonlijst erbij kost ze veel meer
(edit, was bedoeld als reactie op martijntj)
[Reactie gewijzigd door aadje93 op dinsdag 19 maart 2013 18:59]
Ik denk van niet.Zo'n hacker kan daar natuurlijk best van rondkomen! Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
Als Google hem/haar(??) in dienst neemt, dan hoeft hij/zij alleen maar rustig te wachten tot het saldo aan het eind van de maand als salaris wordt aangevuld.
Als de situatie blijft zoals die nu is, dan kan Google rustig wachten tot er wordt geleverd.
Het laatste houdt de boel lekker scherp en hoeft alleen betaald te worden na bewezen prestaties.
Uiteindelijk zijn die evenementen natuurlijk een soort promo van 'wij maken de veiligste dingen'.
Tof initiatief Google, hier wek je sympathie mee!
Het is ligt net aan welke doelgroep je wilt bereiken. Wil je de consumenten bereiken dan snappen ze niet eens wat een white-hat-hacker is en zouden ze die het liefst ook 20 jaar in de gevangenis willen.
Oops, reactie op Menesis.
[Reactie gewijzigd door Sulaine op dinsdag 19 maart 2013 23:01]
Zolang de beloning hoog blijft, hou je op deze manier 'gratis' testers.
Uit een competetieve omgeving haal je betere feedback dan een stel mensen die tot vervelns toe hetzelfe programma loopt te testen
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
