Em 2020, o Google pagou mais de US$ 6,7 milhões a pesquisadores de segurança em todo o mundo por relatarem vulnerabilidades de segurança em produtos Google.
O Google desembolsou um recorde de US$ 6,7 milhões em recompensas de recompensas por bugs em 2020, quebrando o recorde do ano passado, quando a empresa pagou US$ 6,5 milhões pela mesma causa, revelou o gigante das buscas em uma postagem no blog. A recompensa mais alta foi de US$ 132.500, com 662 pesquisadores de segurança pagos em 62 países.
O Programa de Recompensa de Vulnerabilidade (VRP) do Google, que já existe há uma década, abrange vários produtos do Google, incluindo Android, Chrome e Google Play. O programa recompensa hackers amigáveis, ou seja, pesquisadores de segurança, que descobrem e relatam falhas graves de segurança nos produtos do Google antes que possam ser exploradas ou chegar aos usuários em geral.
O trabalho incrivelmente árduo, a dedicação e a experiência de nossos pesquisadores em 2020 resultaram em um pagamento recorde de mais de US$ 6,7 milhões em recompensas, com US$ 280.000 adicionais doados para instituições de caridade.
No Programa de Recompensa de Vulnerabilidade do Android, o Google pagou US$ 1,7 milhão apenas com 13 envios de exploração em funcionamento, representando US$ 1 milhão em pagamentos de recompensa por exploração. Entre os notáveis estavam 11 relatórios sobre a prévia do desenvolvedor do Android 11 e uma exploração de raiz remota com 1 clique. visando dispositivos Android modernos, enviado por Guang Gong e sua equipe do Alpha Lab, Qihoo 360 Technology co. Ltda.
O Google afirma que também lançou vários programas piloto de recompensas para incentivar os pesquisadores a explorar outros áreas do ecossistema Android, como Android Auto OS, gravação de fuzzers para código Android e Android chipsets.
Os pagamentos do Chrome VRP aumentaram 83% em relação a 2019, com prêmios em dinheiro de US$ 2,1 milhões distribuídos a pesquisadores em 300 bugs em 2020. Enquanto isso, o Programa de recompensas de segurança do Google Play e o Programa de Proteção de Dados para Desenvolvedores pagou mais de US$ 270.000 a pesquisadores. O Google afirma que os aplicativos de rastreamento COVID-19 e os aplicativos que dependem da API Exposure Notification também foram qualificados para participar do programa este ano. O Google também aumentou a recompensa máxima por vulnerabilidades qualificadas para US$ 20.000.
Além de recompensas generosas, o Google distribuiu US$ 400 mil em doações para mais de 180 pesquisadores de segurança. Além do Google, outras empresas de tecnologia notáveis que também executam programas semelhantes de recompensa por bugs incluem Qualcomm, Facebook, OnePlus, Microsoft, Reddit e Mozilla.