Im Jahr 2020 zahlte Google über 6,7 Millionen US-Dollar an Sicherheitsforscher auf der ganzen Welt für die Meldung von Sicherheitslücken in Google-Produkten.
Google hat im Jahr 2020 eine Rekordprämie von 6,7 Millionen US-Dollar an Bug-Bounty-Prämien ausgezahlt und damit den Rekord des letzten Jahres gebrochen, als das Unternehmen 6,5 Millionen US-Dollar für denselben Zweck zahlte, wie der Suchriese in einem Blogbeitrag verriet. Die höchste Einzelprämie betrug 132.500 US-Dollar, wobei 662 Sicherheitsforscher in 62 Ländern bezahlt wurden.
Das Vulnerability Reward Program (VRP) von Google, das bereits seit einem Jahrzehnt läuft, erstreckt sich über mehrere Google-Produkte, darunter Android, Chrome und Google Play. Das Programm belohnt freundliche Hacker, also Sicherheitsforscher, die schwerwiegende Sicherheitslücken in Google-Produkten entdecken und melden, bevor sie ausgenutzt werden oder an die breite Öffentlichkeit gelangen.
Die unglaublich harte Arbeit, das Engagement und das Fachwissen unserer Forscher führten im Jahr 2020 zu einer rekordverdächtigen Auszahlung von über 6,7 Millionen US-Dollar an Prämien, wobei weitere 280.000 US-Dollar für wohltätige Zwecke gespendet wurden
Im Rahmen des Android Vulnerability Reward Program zahlte Google allein für 13 funktionierende Exploit-Einreichungen 1,7 Millionen US-Dollar aus, was einer Auszahlung von Exploit-Belohnungen in Höhe von 1 Million US-Dollar entspricht. Zu den bemerkenswertesten gehörten 11 Berichte über die Android 11-Entwicklervorschau und einen 1-Klick-Remote-Root-Exploit für moderne Android-Geräte, eingereicht von Guang Gong und seinem Team im Alpha Lab, Qihoo 360 Technology co. GmbH.
Google sagt, dass sie außerdem mehrere Pilotprämienprogramme gestartet haben, um Forscher zu ermutigen, andere zu erkunden Bereiche des Android-Ökosystems, wie Android Auto OS, das Schreiben von Fuzzern für Android-Code und Android Chipsätze.
Die Auszahlungen für Chrome VRP stiegen im Vergleich zu 2019 um 83 %, wobei im Jahr 2020 Geldpreise in Höhe von 2,1 Millionen US-Dollar an Forscher für 300 Bugs ausgeschüttet wurden. Mittlerweile ist die Google Play Security Rewards-Programm und das Developer Data Protection Program zahlten über 270.000 US-Dollar an Forscher. Laut Google waren in diesem Jahr auch Apps zur Nachverfolgung von COVID-19 und Apps, die auf der Exposure Notification API basieren, für die Teilnahme am Programm qualifiziert. Google erhöhte außerdem die maximale Belohnung für qualifizierte Schwachstellen auf 20.000 US-Dollar.
Neben Kopfgeldprämien verteilte Google Zuschüsse in Höhe von 400.000 US-Dollar an mehr als 180 Sicherheitsforscher. Neben Google gibt es auch andere namhafte Technologieunternehmen, die ähnliche Bug-Bounty-Programme durchführen Qualcomm, Facebook, OnePlus, Microsoft, Reddit und Mozilla.