Компания Google сообщила, что в 2024 году выплатила 660 ИБ-исследователям 11,8 млн долларов в качестве вознаграждения за найденные ими уязвимости.
По данным компании, суммарно с момента запуска первой программы вознаграждения за уязвимости (Vulnerability Reward Program, VRP) в 2010 году, Google выплатила специалистам свыше 65 млн долларов в качестве вознаграждения за баги.
В прошлом году Google изменила структуру выплаты вознаграждений, предложив исследователям до 151 515 долларов в рамках Google VRP и Cloud VRP, до 300 000 долларов в Mobile VRP и до 250 000 долларов за критические уязвимости в браузере Chrome.
В итоге в 2024 году эксперты, сообщавшие об уязвимостях в Android и мобильных приложениях Google, получили 3,3 млн долларов, а количество сообщений о критических и серьезных ошибках увеличилось на фоне снижения общего числа багов.
Еще 137 исследователей, сообщавших о проблемах в Chrome, получили вознаграждения на общую сумму 3,4 млн долларов. Наибольшее вознаграждение составило 100 115 долларов, и эта сумма была выплачена за обнаруженную проблему обхода MiraclePtr. Отметим, что в августе прошлого года Google увеличила вознаграждение за обход MiraclePtr до 250 128 долларов.
Кроме того, после запуска bug bounty программы Cloud VRP в октябре 2024 года компания получила более 400 сообщений об уязвимостях и выплатила исследователям более 500 000 долларов. За проблемы, о которых было сообщено через программу Abuse VRP, компания выплатила более 290 000 долларов.
В рамках bug bounty программы по поиску ИИ-ошибок компания получила более 150 сообщений от специалистов и в итоге выплатила им более 55 000 долларов вознаграждений.
Еще 370 000 долларов были потрачены на поощрения в рамках двух мероприятий bugSWAT. Так, более 87 000 долларов получили багхантеры, участвовавшие в соревновании, направленном на поиск проблем в LLM-продуктах.
