Google делает сферу поиска уязвимостей всё более выгодной для исследователей безопасности

В рамках программы вознаграждения за уязвимости («Bug Bounty») компания Google в прошлом году выплатила самую высокую награду в истории — около 12 миллионов долларов за более чем 2900 обнаруженных в своих продуктах уязвимостей.

Бюджет программы Google Bug Bonty с 2015 по 2022 год

Самая крупная выплата в 2022 году была за отчёт, в котором подробно описывалась цепочка из пяти Android-уязвимостей (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). Отчёт был представлен багхантером под ником «gzobqq», за него исследователь получил 605 тысяч долларов.

В 2021 году тот же исследователь обнаружил и сообщил о другой цепочке критических Android-эксплойтов и получил 157 тысяч долларов — тоже самую высокую награду на тот момент.

Обычно вознаграждение за Android-уязвимости, представленные через Google VRP, составляет до 10 тысяч долларов. Однако за целые цепочки эксплойтов компания может выплатить вплоть до 1 миллиона долларов. Суммарно именно на долю Android-уязвимостей пришлось 4,8 миллионов долларов выплат в 2022 году.

Также в прошлом году компания выплатила около 4 миллионов долларов за найденные уязвимости в браузере Chrome (около 360 шт) и проблемы безопасности в ChromeOS (около 110 шт).

Программа вознаграждений за продукты с открытым исходным кодом, запущенная Google в августе 2022 года, позволила более 100 багхантерам суммарно получить более 110 тысяч долларов.

Помимо вознаграждений, выплачиваемых исследователям, Google также выделила более 250 тысяч долларов в виде грантов более чем 170 исследователям. Эти средства предназначены для частных лиц, которые следят за продуктами и сервисами Google, даже если они не находят никаких уязвимостей. В прошлом году Google также была спонсором конференций NahamCon и BountyCon, связанных с кибербезопасностью.

Иными словами, Google предпринимает всё возможное, чтобы сделать отрасль поиска уязвимостей наиболее финансово выгодной. Своими действиями компания увеличивает потенциальное количество «белых хакеров» и делает используемое повсеместно программное обеспечение гораздо безопаснее.