O Google concedeu $10 milhões a 632 pesquisadores de 68 países em 2023 por encontrarem e relatarem de forma responsável falhas de segurança nos produtos e serviços da empresa.
Embora isso seja menor que os $12 milhões que o Programa de Recompensas por Vulnerabilidades do Google pagou aos pesquisadores em 2022, a quantia ainda é significativa, mostrando um alto nível de participação da comunidade nos esforços de segurança do Google.
A recompensa mais alta por um relatório de vulnerabilidade em 2023 foi de $113,337, enquanto o total acumulado desde o lançamento do programa em 2010 atingiu $59 milhões.
Para o Android, o sistema operacional móvel mais popular e amplamente utilizado do mundo, o programa concedeu mais de $3.4 milhões.
O Google também aumentou a recompensa máxima por vulnerabilidades críticas relacionadas ao Android para $15,000, incentivando um aumento nos relatórios da comunidade.
Durante conferências de segurança como ESCAL8 e hardwea.io, o Google concedeu $70,000 por 20 descobertas críticas em Wear OS e Android Automotive OS e outros $116,000 por 50 relatórios sobre problemas em Nest, Fitbit e Wearables.
Outro grande projeto de software do Google, o navegador Chrome, foi objeto de 359 relatórios de bugs de segurança que totalizaram $2.1 milhões.
Em 1º de junho de 2023, a empresa anunciou que triplicaria os pagamentos de recompensas por exploits de cadeia de escape de sandbox direcionados ao Chrome até 1º de dezembro de 2023.
O programa também aumentou as recompensas por bugs em versões mais antigas (antes do M105) do V8, o motor JavaScript do Chrome, levando a descobertas significativas e recompensas como um prêmio de $30,000 por um bug de otimização V8 JIT de longa data (desde M91).
Outro ponto destacado no post do Google é a introdução do 'MiraclePtr' no Chrome M116, que protege contra vulnerabilidades de Uso após a Liberação (UAF) que não são de renderização.
Devido a essas falhas serem consideradas 'altamente mitigadas' após a introdução do MiraclePtr, o Google introduziu uma classe separada de recompensas para a violação do próprio mecanismo de proteção.
Por fim, a revisão também aborda os esforços em produtos de IA gerativa de segurança, como o Google Bard, com 35 relatórios de pesquisadores em um evento de hacking ao vivo bugSWAT gerando $87,000 em pagamentos.
Além das próprias recompensas, o programa de recompensas por bugs teve os seguintes desenvolvimentos e melhorias chave durante 2023:
A introdução do programa Bonus Awards, oferecendo recompensas extras para alvos específicos.
Expansão do programa de recompensas por exploits para incluir Chrome e Cloud, destacada pelo lançamento do v8CTF, focado no motor JavaScript V8 do Chrome.
A inauguração do Mobile VRP para aplicativos Android de primeira parte.
Lançamento do blog Bughunters para compartilhar informações e medidas de segurança para a internet.
A realização da conferência de segurança ESCAL8 em Tóquio, apresentando eventos de hacking ao vivo, workshops e palestras.
Aqueles que desejam se envolver no programa de recompensas por bugs do Google podem aprender mais sobre ele através de sua comunidade Bug Hunters.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...