Google увеличивает вознаграждение в 5 раз для хакеров, обнаруживших ошибки безопасности в его сервисах

Google только что объявила, что увеличит выплаты в 5 раз хакерам, которые находят ошибки/уязвимости, существующие в ее системах и приложениях, и сообщаются через программу вознаграждения за обнаружение уязвимостей Vulnerability. Программа вознаграждений. Новая максимальная компенсация составляет 151 515 долларов за уязвимость безопасности, в зависимости от сложности и серьезности.

Объясняя это решение, Google заявил: « Наша система становится более безопасной со временем. Мы знаем, что уязвимости все еще будут существовать, но для их поиска требуется больше усилий. Поэтому повышение уровня вознаграждения было бы подходящим стимулом для хакеров '.

Новое наивысшее вознаграждение составляет «101 010 долларов США за критическую уязвимость удаленного выполнения кода (RCE) в популярных продуктах Google с 1,5-кратной модификацией, применяемой для исключительно качественного отчета». Разница, эквивалентная 151 515 долларов США). Обратите внимание, что только отчеты об уязвимостях, отправленные с 11 июля, подлежат выплате в рамках нового уровня вознаграждения.

В дополнение к предложению более высоких выплат, Google также недавно расширил варианты оплаты, включая возможность получать платежи через Bugcrowd. Обновленный раздел «Суммы вознаграждений» набора правил Google VRP предоставит больше информации об изменениях Google в суммах вознаграждений и новой структуре платежей.

На прошлой неделе Google запустила kvmCTF — новый VRP, анонсированный на октябрь 2023 года, который направлен на повышение безопасности гипервизоров виртуальных машин на базе ядра (KVM). kvmCTF фокусируется на ошибках, доступных виртуальной машине в гипервизорах KVM, и предлагает вознаграждение в размере 250 000 долларов США за полную эксплуатацию.

В прошлом году компания также утроила вознаграждение за успешную эксплуатацию цепочки уязвимостей Chrome Sandbox до 1 декабря 2023 года.

С момента запуска Программы вознаграждений за уязвимости (VRP) в 2010 году компания Google выплатила исследователям безопасности более 50 миллионов долларов в виде вознаграждений за более чем 15 000 обнаруженных уязвимостей. отчет.

Только в прошлом году Google выплатила 10 миллионов долларов, а самая крупная сумма компенсации, присужденная по одному делу, составила 113 337 долларов.

Самая высокая награда VRP за всю историю составила $605 000, выплаченная исследователю безопасности по прозвищу gzobqq в 2022 году за обнаружение серии из пяти уязвимостей безопасности в цепочке эксплойтов Android. Тот же хакер сообщил о другой значительной цепочке эксплойтов Android в 2021 году, получив вознаграждение в размере $157 000.

Программа вознаграждения за обнаружение ошибок безопасности — отличная идея, помогающая поставщикам услуг использовать ресурсы сообщества для совершенствования своих продуктов. Это тип взаимовыгодного сотрудничества, который не только помогает мотивировать отдельных лиц и хакерские группы не только находить уязвимости безопасности, но и раскрывать, как быстро эксплуатировать или устранять эти уязвимости. правильно, вместо того, чтобы использовать их в личных целях, нарушать закон или, что еще хуже, продавать их черным организациям.

В целом, стоимость вознаграждения исследователей безопасности зачастую ничто по сравнению с ущербом и суммой денег, потраченных на преодоление последствий этой уязвимости.

Джессика Таннер