Google в 2021 выплатил исследователям безопасности $8.7 млн

Для повышения безопасности продуктов и платформ, у Google давно существует программы вознаграждения за поиск уязвимостей (Vulnerability Reward Programs, VRP). Она охватывает Android, Google Play, Chrome и веб-сервисы компании. В 2021 году выплаты исследователям увеличились на 2 миллиона, до 8.7 миллиона долларов. Всего исследования оплатили 696 специалистам по безопасности.

Мы рады сообщить, что в 2021 году мы выделили рекордные 8,700,000 долларов США в качестве вознаграждения за найденные уязвимости, при этом исследователи пожертвовали более 300,000 долларов своего вознаграждения на благотворительность по своему выбору.

Программа поиска ошибок в Chrome снова возглавила рейтинг выплат с 3,288,000 долларов, из которых 3.1 миллиона долларов были потрачены на ошибки, связанные с браузером, и 250,500 долларов на Chrome OS. Максимальная сумма вознаграждения составила 45,000 долларов для Chrome OS, всего было вознаграждено 115 исследователей.

Следующим стал Android с 2,935,244 долларами, что резко превышает прошлогодние 1.74 миллиона. Самая высокая выплата VRP для Android в истории досталась «цепочке эксплойтов, обнаруженной в Android, которая получила вознаграждение в размере 157,000 долларов».

Google отмечает, что еще никто не выиграл приз за “победу” чипа безопасности Titan-M, который работает в смартфонах Pixel, и который составляет 1.5 миллиона долларов.

У компания также работает программа вознаграждения за поиск уязвимостей чипсетах сторонних производителей — Android Chipset Security Reward Program (ACSRP). Эта закрытая программа, доступная только по приглашениям, предусматривает вознаграждение и признание вклада исследователей безопасности, которые вкладывают свое время и усилия, помогая сделать Android-устройства более безопасными. В 2021 году ACSRP выплатила 296,000 долларов за более чем 220 действительных и уникальных отчетов о безопасности.