Google делает сферу поиска уязвимостей всё более выгодной для исследователей безопасности

Google делает сферу поиска уязвимостей всё более выгодной для исследователей безопасности

За прошлый год калифорнийская корпорация суммарно выплатила багхантерам около 12 млн. долларов.

image

В рамках программы вознаграждения за уязвимости («Bug Bounty») компания Google в прошлом году выплатила самую высокую награду в истории — около 12 миллионов долларов за более чем 2900 обнаруженных в своих продуктах уязвимостей.

Бюджет программы Google Bug Bonty с 2015 по 2022 год

Самая крупная выплата в 2022 году была за отчёт, в котором подробно описывалась цепочка из пяти Android-уязвимостей (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). Отчёт был представлен багхантером под ником «gzobqq», за него исследователь получил 605 тысяч долларов.

В 2021 году тот же исследователь обнаружил и сообщил о другой цепочке критических Android-эксплойтов и получил 157 тысяч долларов — тоже самую высокую награду на тот момент.

Обычно вознаграждение за Android-уязвимости, представленные через Google VRP, составляет до 10 тысяч долларов. Однако за целые цепочки эксплойтов компания может выплатить вплоть до 1 миллиона долларов. Суммарно именно на долю Android-уязвимостей пришлось 4,8 миллионов долларов выплат в 2022 году.

Также в прошлом году компания выплатила около 4 миллионов долларов за найденные уязвимости в браузере Chrome (около 360 шт) и проблемы безопасности в ChromeOS (около 110 шт).

Программа вознаграждений за продукты с открытым исходным кодом, запущенная Google в августе 2022 года, позволила более 100 багхантерам суммарно получить более 110 тысяч долларов.

Помимо вознаграждений, выплачиваемых исследователям, Google также выделила более 250 тысяч долларов в виде грантов более чем 170 исследователям. Эти средства предназначены для частных лиц, которые следят за продуктами и сервисами Google, даже если они не находят никаких уязвимостей. В прошлом году Google также была спонсором конференций NahamCon и BountyCon, связанных с кибербезопасностью.

Иными словами, Google предпринимает всё возможное, чтобы сделать отрасль поиска уязвимостей наиболее финансово выгодной. Своими действиями компания увеличивает потенциальное количество «белых хакеров» и делает используемое повсеместно программное обеспечение гораздо безопаснее.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем