Квест за $300000: Google превращает кибербезопасность в искусство

Google сообщает, что в 2024 году выделила $11,8 млн. в рамках программы поощрения за обнаружение уязвимостей (Vulnerability Reward Program, VRP). Выплаты получили 660 исследователей, которые помогли обнаружить критические ошибки в продуктах компании.

Компания обновила структуру вознаграждений, увеличив максимальные выплаты до;

• $151 515 в Google VRP;
• $300 000 за критические уязвимости в мобильных приложениях;
• $250 000 за найденные ошибки в Chrome;
• $151 515 за уязвимости в облачных сервисах.

Также был запущен конкурс InternetCTF для поиска новых уязвимостей в открытом коде и их исправления через плагины Tsunami.

Изменения коснулись и процесса выплат: теперь исследователи могут получать вознаграждения не только через стандартную систему Google, но и через платформу Bugcrowd. В рамках программы Abuse VRP выплаты увеличились на 40% по сравнению с прошлым годом , а общее количество обнаруженных проблем, связанных с мошенничеством и злоупотреблениями, превысило 250, что принесло исследователям более $290 000.

Google также провела два мероприятия bugSWAT в Лас-Вегасе и испанской Малаге, собрав лучшие умы в области кибербезопасности. В общей сложности участникам выплатили $370 000, а в ходе хакатонов были выявлены критические уязвимости в мобильных устройствах и системах безопасности.

Программа по безопасности Android и устройств Google принесла исследователям $3,3 миллиона, несмотря на сокращение количества отчетов на 8%. При этом число критических и уязвимостей с высокой оценкой увеличилось на 2%, что свидетельствует об усилении защиты Android. Специальное внимание в 2024 году уделялось платформам Android Automotive OS и Wear OS, а на конференции ESCAL8 за выходные удалось выявить несколько проблем с памятью, что принесло хакерам более $75 000.

В области безопасности браузера Chrome в 2024 году были зафиксированы 337 уникальных отчетов об уязвимостях, что привело к выплатам на сумму $3,4 миллиона. Среди значимых достижений — окончательное внедрение механизма MiraclePtr, делающего многие ранее эксплуатируемые уязвимости непригодными для атак. Впервые была запущена награда за обход защитного механизма MiraclePtr в размере $250 128.

Cloud VRP, запущенная в октябре 2024 года, стала новым направлением, посвященным безопасности облачных продуктов Google. В рамках программы обработано более 400 отчетов, выявлено свыше 200 уникальных уязвимостей и выплачено исследователям более $500 000.

Отдельное внимание Google уделила безопасности систем искусственного интеллекта. За первый год работы программы Google AI VRP было отправлено более 150 отчетов и выплачено свыше $55 000. На мероприятии bugSWAT исследователи нашли 35 уязвимостей в системах генеративного ИИ, что принесло им более $87 000.

С момента запуска VRP в 2010 году Google выплатила вознаграждений на сумму $65 млн. В 2024 году самой крупной выплатой стала сумма в $110 000. В 2025 году Google отмечает 15-летие программы по выявлению уязвимостей и планирует расширение инициатив. Компания продолжит поддерживать исследователей и внедрять новые механизмы защиты.

Google VRP в цифрах (Google)

Самая высокая награда в истории VRP в размере $605 000 была выплачена исследователю gzobqq в 2022 году за серию из 5 уязвимостей в цепочке эксплойтов для Android. Этот же исследователь сообщил о другой критической цепочке эксплойтов для Android в 2021 году, получив выплату в $157 000.