O Google pagou a maior parte do dinheiro que já recebeu em 2022 para pesquisadores de segurança.
Vulnerabilidades são uma certeza em software, e os desenvolvedores irão sempre suponha que seu software seja vulnerável de alguma forma a algum tipo de ataque. No entanto, nem sempre é possível para as empresas identificar todos os problemas com um pedaço de software e, muitas vezes, uma correção para uma vulnerabilidade pode resultar no surgimento de outra vulnerabilidade em outro lugar. Recompensas por bugs e programas de recompensa por vulnerabilidades são importantes para incentivar os pesquisadores de segurança a olhar um pouco mais perto do software, ao mesmo tempo que pressiona possíveis maus atores para obter um pagamento imediato e alertar a empresa sobre o problema em vez de. 2022 foi o maior ano para os programas de recompensa por vulnerabilidade do Google até então.
Em 2022, o Google pagou US$ 12 milhões em recompensas, distribuídas por mais de 2.900 vulnerabilidades de segurança. O maior deles foi um pagamento ao Programa de Vulnerabilidade do Android, na forma de um pagamento de US$ 605.000. O Programa de Recompensa de Vulnerabilidade do Android como um todo recebeu US$ 4,8 milhões pagos em recompensas, e o Android O Chipset Security Reward Program, um programa de recompensa somente para convidados, recompensou US$ 468.000 em mais de 700 relatórios.
Quanto ao Google Chrome, o Programa de Recompensa por Vulnerabilidade do Chrome obteve um total de US$ 4 milhões em pagamentos. Desse total, US$ 3,5 milhões foram para recompensar pesquisadores que descobriram 363 bugs no Google Chrome, e quase US$ 500.000 foram para pesquisadores que encontraram bugs no ChromeOS. Este ano, o Chrome VRP adicionou uma nova categoria no ano passado para bugs de corrupção de memória em processos altamente privilegiados para incentivar os pesquisadores a atingir essas áreas.
Como grande contribuidor da comunidade de software de código aberto (OSS), o Google também introduziu um programa de recompensa por vulnerabilidade para seus próprios programas OSS. Mais de 100 pessoas participaram do projeto e receberam recompensas totalizando mais de US$ 110 mil.
Se você estiver interessado em descobrir como encontrar bugs e vulnerabilidades sozinho, o Google lançou Universidade de caçadores de insetos (UBS) no ano passado também. Existem vídeos instrutivos, guias sobre como fazer relatórios e pesquisadores de segurança como LiveOverflow e stacksmashing (anteriormente Ghidra Ninja) são colaboradores do BHU. O Google tem feito esforços contínuos para apoiar financeiramente pesquisadores de segurança que encontram bugs e vulnerabilidades no software do Google, e você pode conferir o "Hackeando o Google" minissérie no YouTube para ver os bastidores.