O Google concedeu $10 milhões a 632 pesquisadores de 68 países em 2023 por encontrarem e relatarem de forma responsável falhas de segurança nos produtos e serviços da empresa.
Embora isso seja menor que os $12 milhões que o Programa de Recompensas por Vulnerabilidades do Google pagou aos pesquisadores em 2022, a quantia ainda é significativa, mostrando um alto nível de participação da comunidade nos esforços de segurança do Google.
A recompensa mais alta por um relatório de vulnerabilidade em 2023 foi de $113,337, enquanto o total acumulado desde o lançamento do programa em 2010 atingiu $59 milhões.
Para o Android, o sistema operacional móvel mais popular e amplamente utilizado do mundo, o programa concedeu mais de $3.4 milhões.
O Google também aumentou a recompensa máxima por vulnerabilidades críticas relacionadas ao Android para $15,000, incentivando um aumento nos relatórios da comunidade.
Durante conferências de segurança como ESCAL8 e hardwea.io, o Google concedeu $70,000 por 20 descobertas críticas em Wear OS e Android Automotive OS e outros $116,000 por 50 relatórios sobre problemas em Nest, Fitbit e Wearables.
Outro grande projeto de software do Google, o navegador Chrome, foi objeto de 359 relatórios de bugs de segurança que totalizaram $2.1 milhões.
Em 1º de junho de 2023, a empresa anunciou que triplicaria os pagamentos de recompensas por exploits de cadeia de escape de sandbox direcionados ao Chrome até 1º de dezembro de 2023.
O programa também aumentou as recompensas por bugs em versões mais antigas (antes do M105) do V8, o motor JavaScript do Chrome, levando a descobertas significativas e recompensas como um prêmio de $30,000 por um bug de otimização V8 JIT de longa data (desde M91).
Outro ponto destacado no post do Google é a introdução do 'MiraclePtr' no Chrome M116, que protege contra vulnerabilidades de Uso após a Liberação (UAF) que não são de renderização.
Devido a essas falhas serem consideradas 'altamente mitigadas' após a introdução do MiraclePtr, o Google introduziu uma classe separada de recompensas para a violação do próprio mecanismo de proteção.
Por fim, a revisão também aborda os esforços em produtos de IA gerativa de segurança, como o Google Bard, com 35 relatórios de pesquisadores em um evento de hacking ao vivo bugSWAT gerando $87,000 em pagamentos.
Além das próprias recompensas, o programa de recompensas por bugs teve os seguintes desenvolvimentos e melhorias chave durante 2023:
A introdução do programa Bonus Awards, oferecendo recompensas extras para alvos específicos.
Expansão do programa de recompensas por exploits para incluir Chrome e Cloud, destacada pelo lançamento do v8CTF, focado no motor JavaScript V8 do Chrome.
A inauguração do Mobile VRP para aplicativos Android de primeira parte.
Lançamento do blog Bughunters para compartilhar informações e medidas de segurança para a internet.
A realização da conferência de segurança ESCAL8 em Tóquio, apresentando eventos de hacking ao vivo, workshops e palestras.
Aqueles que desejam se envolver no programa de recompensas por bugs do Google podem aprender mais sobre ele através de sua comunidade Bug Hunters.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...