Google объявило повышении выплат за найденные уязвимости в своих системах и приложениях. Поскольку системы компании стали более защищёнными, и теперь требуется гораздо больше времени на обнаружение ошибок, Google решил увеличить некоторые выплаты в 5 раз.
В рамках программы Vulnerability Reward Program (VRP) теперь можно получить до $151 515 за одну выявленную ошибку безопасности. Сумма включает в себя $101 010 за RCE-уязвимость в наиболее чувствительных системах компании, умноженные на коэффициент 1,5 за исключительное качество отчёта. Все обнаруженные уязвимости будут рассматриваться в соответствии с новыми правилами выплат.
Помимо увеличения сумм вознаграждений, Google расширил возможности получения выплат, включив возможность получения денег через платформу Bugcrowd. В обновлённом разделе правил Google VRP можно найти подробную информацию о новых суммах вознаграждений и структуре выплат.
Примеры новых выплат:
- Уязвимость логики, приводящая к захвату аккаунта @gmail.com: $75 000 (ранее $13 337);
- XSS-уязвимость на idx.google.com: $15 000 (ранее $3 133.7);
- Ошибка логики, раскрывающая личную информацию на home.nest.com: $3 750 (ранее $500).
Пример расчета увеличенных выплат
На прошлой неделе Google запустила новую программу вознаграждений kvmCTF, целью которой является улучшение безопасности гипервизора Kernel-based Virtual Machine (KVM). За полное выполнение VM-эксплойта в гипервизоре KVM предлагается награда в размере $250 000.
С момента запуска программы VRP в 2010 году Google выплатила более $50 миллионов исследователям безопасности, которые сообщили о более 15 000 уязвимостей. За прошлый год Google выплатила $10 миллионов, при этом самая большая награда составила $113 337.
Самая высокая награда в истории VRP в размере $605 000 была выплачена исследователю gzobqq в 2022 году за серию из 5 уязвимостей в цепочке эксплойтов для Android. Этот же исследователь сообщил о другой критической цепочке эксплойтов для Android в 2021 году, получив выплату в $157 000.