Компания Google отчиталась о результатах работы программы bug bounty в 2019 году. Оказалось, что минувший год стал рекордным: фактически Google удвоила сумму вознаграждений, выплаченных исследователям за обнаруженные уязвимости, суммарно заплатив за различные баги более 6,5 млн долларов США.
Напомню, что программа вознаграждений за обнаружение уязвимостей работает в Google уже 10 лет. Суммарно за это время компания потратила на вознаграждения более 21 млн долларов.
В 2019 году в bug bounty Google поучаствовали более 460 исследователей из разных стран мира, и самая крупная выплата составила 201 337 долларов США. Столь щедрого вознаграждения удостоился специалист компании Alpha Lab, обнаруживший цепочку эксплоитов, которые за одно нажатие могли привести к удаленному выполнению кода на устройстве Pixel 3.
В целом выплаченные исследователям миллионы достаточно равномерно распределились по различным программам Google. Так, на выплаты по основной Google Vulnerability Reward Program (VRP) было потрачено 2,1 млн долларов; программа вознаграждений для Android стоила компании еще 1,9 млн долларов; уязвимости в Chrome в общей сложности принесли исследователям 1 млн долларов; и еще 800 000 было выплачено в рамках Google Play Security Reward Program.
Напомню, что в прошлом году компания расширила свою программу bug bounty и увеличила размер вознаграждений. К примеру, теперь исследователи смогут заработать, обнаруживая злоупотребление пользовательскими данными, а за компрометацию модуля безопасности Titan M (используется в Google Pixel 3 и Pixel 4) и вовсе можно получить до полутора миллионов долларов.
