O Google pagou a maior recompensa por bug de todos os tempos no ano passado, por meio do Programa de Recompensa de Vulnerabilidade (VRP), por um relatório sobre uma cadeia de exploração crítica que a empresa avaliou em US$ 605mil. No total, o gigante das buscas gastou mais de US$ 12 milhões em decorrência de mais de 2.900 vulnerabilidades em seus produtos descobertas e relatadas por pesquisadores de segurança.
O Google publicou as estatísticas do Programa de Recompensa de Vulnerabilidade em 2022, fornecendo uma visão geral de como a comunidade de pesquisa de segurança contribuiu para tornar os produtos da empresa mais seguros.
O maior pagamento foi por um relatório detalhando uma cadeia de exploração de cinco bugs (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) no Android enviado por gzobqq, que foi recompensado com os US$ 605 mil. Em 2021, o mesmo pesquisador descobriu e relatou outra cadeia de exploração crítica no Android e recebeu US$ 157 mil, a maior recompensa por bug na história do Android na época.
Normalmente, a recompensa por vulnerabilidades no Android enviadas por meio do Google VRP é de até US$ 10 mil, mas para cadeias de exploração, a empresa paga até US$ 1 milhão.
No ano passado, o Google pagou US$ 4,8 milhões em recompensas por centenas de bugs no Android. Os principais pesquisadores que relataram a maioria das vulnerabilidades são:
- Aman Pandey, do Bugsmirror – mais de 200 bugs
- Zinuo Han, do OPPO Amber Security Lab – 150 bugs
- Yu-Cheng Lin – quase 100 bugs
O Google também pagou US$ 486 mil no ano passado por 700 relatórios de segurança por meio do Android Chipset Security Reward Program (ACSRP), programa de recompensa privado que o Google oferece em colaboração com fabricantes de chipset Android. A empresa também desembolsou um total de US$ 4 milhões em 2022 por 363 vulnerabilidades no navegador Chrome e 110 problemas de segurança no ChromeOS.
Veja isso
Ransomware pagou US$ 50 mil em prêmio de bug bounty
Google amplia bug bounty para cobrir GitHub e outros projetos
O Google anunciou que neste ano o Chrome VRP começará a experimentar e poderá oferecer oportunidades de bônus para problemas de segurança relatados no navegador e no ChromeOS.
O programa de recompensas para produtos de código aberto que o Google lançou em agosto do ano passado mais de 100 caçadores de bugs com mais de US$ 110 mil em prêmios.
Além das recompensas pagas aos pesquisadores, o Google também enviou mais de US$ 250 mil em doações a mais de 170 pesquisadores. Esses fundos são para pessoas que ficam de olho nos produtos e serviços da empresa, mesmo que não encontrem nenhuma vulnerabilidade.
No ano passado, o Google pagou 703 pesquisadores pelos relatórios enviados por meio dos Programas de Recompensas de Vulnerabilidade e foi patrocinador das conferências relacionadas à segurança NahamCon e BountyCon.