En 2020, Google a versé plus de 6,7 millions de dollars à des chercheurs en sécurité du monde entier pour avoir signalé des vulnérabilités de sécurité dans les produits Google.
Google a déboursé un montant record de 6,7 millions de dollars en récompenses de bug bounty en 2020, battant le record de l'année dernière lorsque l'entreprise a payé 6,5 millions de dollars pour la même cause, a révélé le géant de la recherche dans un article de blog. La récompense la plus élevée était de 132 500 $, avec 662 chercheurs en sécurité rémunérés dans 62 pays.
Le programme Vulnerability Reward (VRP) de Google, qui existe depuis une décennie maintenant, s'étend sur plusieurs produits Google, notamment Android, Chrome et Google Play. Le programme récompense les pirates informatiques amicaux, c'est-à-dire les chercheurs en sécurité, qui découvrent et signalent de graves failles de sécurité dans les produits Google avant qu'elles ne puissent être exploitées ou transmises au grand public.
Le travail incroyablement acharné, le dévouement et l'expertise de nos chercheurs en 2020 ont abouti à un paiement record de plus de 6,7 millions de dollars en récompenses, avec 280 000 dollars supplémentaires versés à des œuvres caritatives.
Dans le cadre du programme Android Vulnerability Reward, Google a payé 1,7 million de dollars rien qu'avec 13 soumissions d'exploits fonctionnels, ce qui représente 1 million de dollars en récompenses d'exploit. Parmi les notables figuraient 11 rapports sur l'aperçu du développeur Android 11 et un exploit root à distance en 1 clic. ciblant les appareils Android modernes, soumis par Guang Gong et son équipe d'Alpha Lab, Qihoo 360 Technology co. Ltd.
Google affirme avoir également lancé plusieurs programmes pilotes de récompenses pour encourager les chercheurs à explorer d'autres domaines de l'écosystème Android, tels que Android Auto OS, l'écriture de fuzzers pour le code Android et Android chipsets.
Les paiements Chrome VRP ont augmenté de 83 % par rapport à 2019, avec 2,1 millions de dollars de prix en espèces remis aux chercheurs pour 300 bogues en 2020. Pendant ce temps, le Programme de récompenses de sécurité Google Play et le Developer Data Protection Program a versé plus de 270 000 $ aux chercheurs. Google affirme que les applications de traçage du COVID-19 et les applications reposant sur l'API de notification d'exposition étaient également qualifiées pour participer au programme cette année. Google a également augmenté la récompense maximale pour les vulnérabilités éligibles à 20 000 $.
Outre les primes, Google a distribué 400 000 $ de subventions à plus de 180 chercheurs en sécurité. Outre Google, d'autres sociétés technologiques notables qui exécutent également des programmes similaires de bug bounty incluent Qualcomm, Facebook, OnePlus, Microsoft, Reddit et Mozilla.