Google pagó la mayor cantidad de dinero que jamás haya pagado en 2022 a investigadores de seguridad.
Las vulnerabilidades son una certeza en el software y los desarrolladores siempre asumir que su software es vulnerable de alguna manera a algún tipo de ataque. Sin embargo, no siempre es posible para las empresas identificar cada problema con una pieza de software y, a menudo, una solución para una vulnerabilidad puede dar lugar a que surja otra vulnerabilidad en otra parte. Los programas de recompensas por errores y vulnerabilidades son importantes para incentivar a los investigadores de seguridad a mirar un poco más cerca del software, al mismo tiempo que presiona a los posibles malos actores para que obtengan un pago inmediato y alerten a la empresa sobre el problema. en cambio. 2022 fue el año más importante para los programas de recompensa por vulnerabilidades de Google hasta el momento.
En 2022, Google pagó 12 millones de dólares en recompensas, repartidos en más de 2.900 vulnerabilidades de seguridad. El mayor de ellos fue un pago en el Programa de Vulnerabilidad de Android, en forma de pago de 605.000 dólares. El Programa de Recompensas por Vulnerabilidad de Android en su conjunto obtuvo 4,8 millones de dólares en recompensas, y el Programa de Recompensas por Vulnerabilidad de Android El programa de recompensas de seguridad Chipset, un programa de recompensas al que solo se puede acceder por invitación, recompensó con 468 000 dólares en más de 700 informes.
En cuanto a Google Chrome, el programa de recompensas por vulnerabilidad de Chrome obtuvo un total de 4 millones de dólares en pagos. De esa cantidad, 3,5 millones de dólares se destinaron a recompensar a los investigadores que descubrieron 363 errores en Google Chrome, y casi 500.000 dólares de esa cantidad se destinaron a investigadores que encontraron errores en ChromeOS. Este año, Chrome VRP agregó una nueva categoría el año pasado para errores de corrupción de memoria en procesos altamente privilegiados para incentivar a los investigadores a centrarse en esas áreas.
Como gran contribuyente a la comunidad de software de código abierto (OSS), Google también introdujo un programa de recompensa por vulnerabilidades para sus propios programas OSS. Más de 100 personas participaron en el proyecto y recibieron recompensas por un total de más de 110.000 dólares.
Si está interesado en descubrir cómo encontrar errores y vulnerabilidades usted mismo, Google lanzó Universidad de cazadores de insectos (BHU) también el año pasado. Hay videos instructivos, guías sobre cómo realizar informes e investigadores de seguridad como LiveOverflow y stacksmashing (anteriormente Ghidra Ninja) contribuyen a BHU. Google ha realizado esfuerzos continuos para apoyar financieramente a los investigadores de seguridad que encuentran errores y vulnerabilidades en el software de Google, y puede consultar "Hackear Google" miniserie en YouTube para una mirada detrás de escena.