In 2020 betaalde Google ruim 6,7 miljoen dollar aan beveiligingsonderzoekers over de hele wereld voor het melden van beveiligingskwetsbaarheden in Google-producten.
Google heeft in 2020 een recordbedrag van 6,7 miljoen dollar aan bugbounty-beloningen uitgekeerd, waarmee het record van vorig jaar werd verbroken toen het bedrijf 6,5 miljoen dollar betaalde voor hetzelfde doel, zo onthulde de zoekgigant in een blogpost. De hoogste beloning bedroeg $132.500, waarbij 662 beveiligingsonderzoekers in 62 landen werden betaald.
Het Vulnerability Reward Program (VRP) van Google, dat nu al tien jaar loopt, omvat meerdere Google-producten, waaronder Android, Chrome en Google Play. Het programma beloont vriendelijke hackers, d.w.z. beveiligingsonderzoekers, die ernstige beveiligingsfouten in Google-producten ontdekken en rapporteren voordat deze kunnen worden uitgebuit of bij de algemene gebruikers terecht kunnen komen.
Het ongelooflijk harde werk, de toewijding en de expertise van onze onderzoekers in 2020 resulteerden in een recordbrekende uitbetaling van meer dan $6,7 miljoen aan beloningen, waarbij nog eens $280.000 aan goede doelen werd geschonken
In het Android Vulnerability Reward Program betaalde Google $1,7 miljoen uit met alleen al dertien werkende exploit-inzendingen, goed voor $1 miljoen aan uitbetalingen voor exploitbeloningen. Onder de opmerkelijke waren 11 rapporten over de Android 11-ontwikkelaarspreview en een externe root-exploit met 1 klik gericht op moderne Android-apparaten, ingediend door Guang Gong en zijn team bij Alpha Lab, Qihoo 360 Technology co. Ltd.
Google zegt dat ze ook verschillende proefbeloningsprogramma's hebben gelanceerd om onderzoekers aan te moedigen andere te verkennen gebieden van het Android-ecosysteem, zoals Android Auto OS, het schrijven van fuzzers voor Android-code en Android chipsets.
De VRP-uitbetalingen voor Chrome waren 83% hoger dan in 2019, waarbij in 2020 $ 2,1 miljoen aan geldprijzen werden uitgedeeld aan onderzoekers voor 300 bugs. Ondertussen is de Google Play Security Rewards-programma en het Developer Data Protection Program betaalden ruim $270.000 aan onderzoekers. Google zegt dat apps voor het traceren van COVID-19 en apps die afhankelijk zijn van de Exposure Notification API dit jaar ook in aanmerking kwamen voor deelname aan het programma. Google heeft ook de maximale beloning voor kwalificerende kwetsbaarheden verhoogd naar $20.000.
Naast premiebeloningen verdeelde Google $ 400.000 aan subsidies aan meer dan 180 beveiligingsonderzoekers. Naast Google zijn er nog andere opmerkelijke technologiebedrijven die ook soortgelijke bugbounty-programma's uitvoeren Qualcomm, Facebook, OnePlus, Microsoft, Reddit en Mozilla.