O Google pagou $10 milhões em recompensas de programa de caça aos bugs no ano passado
13 de Março de 2024

O Google concedeu $10 milhões a 632 pesquisadores de 68 países em 2023 por encontrarem e relatarem de forma responsável falhas de segurança nos produtos e serviços da empresa.

Embora isso seja menor que os $12 milhões que o Programa de Recompensas por Vulnerabilidades do Google pagou aos pesquisadores em 2022, a quantia ainda é significativa, mostrando um alto nível de participação da comunidade nos esforços de segurança do Google.

A recompensa mais alta por um relatório de vulnerabilidade em 2023 foi de $113,337, enquanto o total acumulado desde o lançamento do programa em 2010 atingiu $59 milhões.

Para o Android, o sistema operacional móvel mais popular e amplamente utilizado do mundo, o programa concedeu mais de $3.4 milhões.

O Google também aumentou a recompensa máxima por vulnerabilidades críticas relacionadas ao Android para $15,000, incentivando um aumento nos relatórios da comunidade.

Durante conferências de segurança como ESCAL8 e hardwea.io, o Google concedeu $70,000 por 20 descobertas críticas em Wear OS e Android Automotive OS e outros $116,000 por 50 relatórios sobre problemas em Nest, Fitbit e Wearables.

Outro grande projeto de software do Google, o navegador Chrome, foi objeto de 359 relatórios de bugs de segurança que totalizaram $2.1 milhões.

Em 1º de junho de 2023, a empresa anunciou que triplicaria os pagamentos de recompensas por exploits de cadeia de escape de sandbox direcionados ao Chrome até 1º de dezembro de 2023.

O programa também aumentou as recompensas por bugs em versões mais antigas (antes do M105) do V8, o motor JavaScript do Chrome, levando a descobertas significativas e recompensas como um prêmio de $30,000 por um bug de otimização V8 JIT de longa data (desde M91).

Outro ponto destacado no post do Google é a introdução do 'MiraclePtr' no Chrome M116, que protege contra vulnerabilidades de Uso após a Liberação (UAF) que não são de renderização.

Devido a essas falhas serem consideradas 'altamente mitigadas' após a introdução do MiraclePtr, o Google introduziu uma classe separada de recompensas para a violação do próprio mecanismo de proteção.

Por fim, a revisão também aborda os esforços em produtos de IA gerativa de segurança, como o Google Bard, com 35 relatórios de pesquisadores em um evento de hacking ao vivo bugSWAT gerando $87,000 em pagamentos.

Além das próprias recompensas, o programa de recompensas por bugs teve os seguintes desenvolvimentos e melhorias chave durante 2023:

A introdução do programa Bonus Awards, oferecendo recompensas extras para alvos específicos.

Expansão do programa de recompensas por exploits para incluir Chrome e Cloud, destacada pelo lançamento do v8CTF, focado no motor JavaScript V8 do Chrome.

A inauguração do Mobile VRP para aplicativos Android de primeira parte.

Lançamento do blog Bughunters para compartilhar informações e medidas de segurança para a internet.

A realização da conferência de segurança ESCAL8 em Tóquio, apresentando eventos de hacking ao vivo, workshops e palestras.

Aqueles que desejam se envolver no programa de recompensas por bugs do Google podem aprender mais sobre ele através de sua comunidade Bug Hunters.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...