I 2020 betalte Google over $6,7 millioner til sikkerhedsforskere over hele verden for at rapportere sikkerhedssårbarheder i Google-produkter.
Google udbetalte rekordhøje 6,7 millioner dollars i bug-bounty-belønninger i 2020, hvilket slog sidste års rekord, da virksomheden betalte 6,5 millioner dollars for samme sag, afslørede søgegiganten i et blogindlæg. Den højeste enkeltbelønning var $132.500, med 662 sikkerhedsforskere betalt i 62 lande.
Googles Vulnerability Reward Program (VRP), som har været i gang i et årti nu, spænder over flere Google-produkter, herunder Android, Chrome og Google Play. Programmet belønner venlige hackere, det vil sige sikkerhedsforskere, som opdager og rapporterer alvorlige sikkerhedsfejl i Google-produkter, før de kan udnyttes eller gøre det til de almindelige brugere.
Vores forskeres utroligt hårde arbejde, engagement og ekspertise i 2020 resulterede i en rekordstor udbetaling på over $6,7 millioner i belønninger, med yderligere $280.000 givet til velgørenhed
I Android Vulnerability Reward-programmet udbetalte Google 1,7 millioner dollars med 13 fungerende udnyttelsesindsendelser alene, hvilket repræsenterer 1 million dollars i udbetalinger af udnyttelsesbelønninger. Blandt de bemærkelsesværdige var 11 rapporter om Android 11-udviklerforhåndsvisningen og en 1-kliks fjernudnyttelse af rod målrettet mod moderne Android-enheder, indsendt af Guang Gong og hans team hos Alpha Lab, Qihoo 360 Technology co. Ltd.
Google siger, at de også har lanceret flere pilotbelønningsprogrammer for at opmuntre forskere til at udforske andre områder af Android-økosystemet, såsom Android Auto OS, skrive fuzzers til Android-kode og Android chipsæt.
Chrome VRP-udbetalinger steg 83 % fra 2019, med $2,1 millioner pengepræmier uddelt til forskere på tværs af 300 fejl i 2020. I mellemtiden Google Play Security Rewards-program og Developer Data Protection Program betalte over $270.000 til forskere. Google siger, at COVID-19-sporingsapps og apps, der er afhængige af Exposure Notification API, også var kvalificeret til at deltage i programmet i år. Google øgede også den maksimale belønning for kvalificerende sårbarheder til $20.000.
Ud over dusørbelønninger uddelte Google $400.000 i tilskud til mere end 180 sikkerhedsforskere. Udover Google omfatter andre bemærkelsesværdige teknologivirksomheder, der også kører lignende bug bounty-programmer Qualcomm, Facebook, OnePlus, Microsoft, Reddit og Mozilla.