I 2020 betalte Google over 6,7 millioner dollar til sikkerhetsforskere over hele verden for rapportering av sikkerhetssårbarheter i Google-produkter.
Google utbetalte rekordbelønninger på 6,7 millioner dollar i bug-bounty-belønninger i 2020, og brøt fjorårets rekord da selskapet betalte 6,5 millioner dollar for samme sak, avslørte søkegiganten i et blogginnlegg. Den høyeste enkeltbelønningen var $132 500, med 662 sikkerhetsforskere betalt i 62 land.
Googles Vulnerability Reward Program (VRP), som har pågått i et tiår nå, spenner over flere Google-produkter, inkludert Android, Chrome og Google Play. Programmet belønner vennlige hackere, det vil si sikkerhetsforskere, som oppdager og rapporterer alvorlige sikkerhetsfeil i Google-produkter før de kan utnyttes eller gjøre det til generelle brukere.
Det utrolig harde arbeidet, engasjementet og ekspertisen til forskerne våre i 2020 resulterte i en rekordstor utbetaling på over $6,7 millioner i belønninger, med ytterligere $280 000 gitt til veldedighet
I Android Vulnerability Reward-programmet betalte Google ut 1,7 millioner dollar med 13 fungerende innsendinger alene, noe som representerer 1 million dollar i utbetalinger av utnyttelsesbelønninger. Blant bemerkelsesverdige var 11 rapporter om Android 11-utviklerforhåndsvisningen og en 1-klikks ekstern rotutnyttelse rettet mot moderne Android-enheter, sendt inn av Guang Gong og teamet hans ved Alpha Lab, Qihoo 360 Technology co. Ltd.
Google sier at de også har lansert flere pilotbelønningsprogrammer for å oppmuntre forskere til å utforske andre områder av Android-økosystemet, for eksempel Android Auto OS, skrivefuzzere for Android-kode og Android brikkesett.
Chrome VRP-utbetalinger økte med 83 % fra 2019, med $2,1 millioner pengepremier delt ut til forskere på tvers av 300 feil i 2020. I mellomtiden har Google Play Security Rewards-program og Developer Data Protection Program betalte over $270 000 til forskere. Google sier at COVID-19-sporingsapper og apper som er avhengige av Exposure Notification API også var kvalifisert til å delta i programmet i år. Google økte også den maksimale belønningen for kvalifiserende sårbarheter til $20 000.
Bortsett fra dusørbelønninger, delte Google ut 400 000 dollar i tilskudd til mer enn 180 sikkerhetsforskere. Foruten Google, inkluderer andre bemerkelsesverdige teknologiselskaper som også kjører lignende bug-bounty-programmer Qualcomm, Facebook, OnePlus, Microsoft, Reddit og Mozilla.