- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Самая крупная выплата в 2022 году была за отчёт, в котором подробно описывалась цепочка из пяти Android-уязвимостей (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). Отчёт был представлен багхантером под ником «gzobqq», за него исследователь получил 605 тысяч долларов.
В 2021 году тот же исследователь обнаружил и сообщил о другой цепочке критических Android-эксплойтов и получил 157 тысяч долларов — тоже самую высокую награду на тот момент.
Обычно вознаграждение за Android-уязвимости, представленные через Google VRP, составляет до 10 тысяч долларов. Однако за целые цепочки эксплойтов компания может выплатить вплоть до 1 миллиона долларов. Суммарно именно на долю Android-уязвимостей пришлось 4,8 миллионов долларов выплат в 2022 году.
Также в прошлом году компания выплатила около 4 миллионов долларов за найденные уязвимости в браузере Chrome (около 360 шт) и проблемы безопасности в ChromeOS (около 110 шт).
Программа вознаграждений за продукты с открытым исходным кодом, запущенная Google в августе 2022 года, позволила более 100 багхантерам суммарно получить более 110 тысяч долларов.
Помимо вознаграждений, выплачиваемых исследователям, Google также выделила более 250 тысяч долларов в виде грантов более чем 170 исследователям. Эти средства предназначены для частных лиц, которые следят за продуктами и сервисами Google, даже если они не находят никаких уязвимостей. В прошлом году Google также была спонсором конференций NahamCon и BountyCon, связанных с кибербезопасностью.
Иными словами, Google предпринимает всё возможное, чтобы сделать отрасль поиска уязвимостей наиболее финансово выгодной. Своими действиями компания увеличивает потенциальное количество «белых хакеров» и делает используемое повсеместно программное обеспечение гораздо безопаснее.