Как известно, у Google, как у многих других технологических компаний сегодня, есть специальная программа, в рамках которой она финансового стимулирует на выявление уязвимостей в Android и других своих продуктах как своих сотрудников, так и внештатных специалистов. К слову, в прошлом году компания вчетверо увеличила размер максимальной выплаты за обнаружения уязвимостей Android – до $200 тыс. И вот сейчас поисковый гигант отчитался о том, как программа Vulnerability Reward Program сработала в прошлом году, опубликовав главные цифры в виде инфографики.
Итак, в прошлом году Google выплатила по программе Vulnerability Reward в общей сложности $2,9 млн, которые были перечислены 274 специалистам по компьютерной безопасности. Сколько конкретно уязвимостей обнаружили последние не указывается, но из отчете ясно, что большая часть суммы – $1,8 млн – пришлась на вознаграждения по программе Google Chrome, оставшиеся $1,1 млн – это выплаты за ошибки, найденные в Android и других продуктах Google. Отдельно Google отмечает, что выплатила более $125 тыс. более чем 50 специалистам по всему миру в рамках программы грантов на изучение уязвимостей (Vulnerability Research Grants). Еще $50 тыс. в рамках программы Patch Rewards Program от Google получили те, кто улучшает безопасность ПО с открытым кодом.
Самое крупное вознаграждение в размере $112 500 получил исследователь Гуан Гун, который в августе 2017 года обнаружил цепочку эксплойтов в смартфонах Pixel. Google отмечает, что Pixel был единственным устройством, который не удалось взломать на ежегодной хакерской конференции Pwn2Own, а находка исследователя позволила еще больше повысить защиту продукта. На втором месте идет исследователь под псевдонимом gzobqq, получивший $100 тыс. за уязвимости в пяти компонентах, позволяющие удаленно выполнить код в режиме гостя в операционной системе Chrome. Специалист по кибербезопасности Алекс Бирсан заработал на программе Google $15 600, ему далось обнаружить ошибку, позволяющую любому желающему получить доступ к баг-трекеру Google Issue Tracker, служащий для отслеживания сообщений о неисправностях и уязвимостях.
Остается добавить, что с момента запуска программы в ноябре 2010 года за найденные уязвимости Google выплатила в общей сложности уже более $12 млн.
Источник: Google