В рамках программы вознаграждения за уязвимости (“Bug Bounty”) компания Google в прошлом году выплатила самую высокую награду в истории – около 12 миллионов долларов за более чем 2900 обнаруженных в своих продуктах уязвимостей.
Бюджет программы Google Bug Bonty с 2015 по 2022 год
Самая крупная выплата в 2022 году была за отчёт, в котором подробно описывалась цепочка из пяти Android-уязвимостей (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). Отчёт был представлен багхантером под ником “gzobqq”, за него исследователь получил 605 тысяч долларов.
В 2021 году тот же исследователь обнаружил и сообщил о другой цепочке критических Android-эксплойтов и получил 157 тысяч долларов – тоже самую высокую награду на тот момент.
Обычно вознаграждение за Android-уязвимости, представленные через Google VRP, составляет до 10 тысяч долларов. Однако за целые цепочки эксплойтов компания может выплатить вплоть до 1 миллиона долларов. Суммарно именно на долю Android-уязвимостей пришлось 4,8 миллионов долларов выплат в 2022 году.
Также в прошлом году компания выплатила около 4 миллионов долларов за найденные уязвимости в браузере Chrome (около 360 шт) и проблемы безопасности в ChromeOS (около 110 шт).
Программа вознаграждений за продукты с открытым исходным кодом, запущенная Google в августе 2022 года, позволила более 100 багхантерам суммарно получить более 110 тысяч долларов.
Помимо вознаграждений, выплачиваемых исследователям, Google также выделила более 250 тысяч долларов в виде грантов более чем 170 исследователям. Эти средства предназначены для частных лиц, которые следят за продуктами и сервисами Google, даже если они не находят никаких уязвимостей. В прошлом году Google также была спонсором конференций NahamCon и BountyCon, связанных с кибербезопасностью.
Иными словами, Google предпринимает всё возможное, чтобы сделать отрасль поиска уязвимостей наиболее финансово выгодной. Своими действиями компания увеличивает потенциальное количество “белых хакеров” и делает используемое повсеместно программное обеспечение гораздо безопаснее.