Google ทุ่มเงินรางวัล Bug มูลค่ากว่า 6.7 ล้านเหรียญสหรัฐในปี 2020

สรุปข่าวNov 10, 2023

ในปี 2020 Google จ่ายเงินมากกว่า 6.7 ล้านเหรียญสหรัฐให้กับนักวิจัยด้านความปลอดภัยทั่วโลกสำหรับการรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ Google

Google ทุ่มเงินรางวัลรางวัล Bug Bounty มูลค่า 6.7 ล้านเหรียญสหรัฐในปี 2020 ซึ่งทำลายสถิติของปีที่แล้วเมื่อบริษัทจ่ายเงิน 6.5 ล้านเหรียญสหรัฐด้วยสาเหตุเดียวกัน บริษัทค้นหายักษ์ใหญ่เปิดเผยในบล็อกโพสต์ รางวัลสูงสุดเพียงรางวัลเดียวคือ 132,500 ดอลลาร์ โดยมีนักวิจัยด้านความปลอดภัย 662 คนจ่ายใน 62 ประเทศ

โปรแกรม Vulnerability Reward Program (VRP) ของ Google ซึ่งดำเนินมาเป็นเวลากว่าทศวรรษแล้ว ครอบคลุมผลิตภัณฑ์ต่างๆ ของ Google รวมถึง Android, Chrome และ Google Play โปรแกรมนี้ให้รางวัลแก่แฮกเกอร์ที่เป็นมิตร เช่น นักวิจัยด้านความปลอดภัย ซึ่งค้นพบและรายงานข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงในผลิตภัณฑ์ของ Google ก่อนที่จะถูกนำไปใช้ประโยชน์หรือเผยแพร่ต่อผู้ใช้ทั่วไป

การทำงานหนัก ความทุ่มเท และความเชี่ยวชาญอย่างเหลือเชื่อของนักวิจัยของเราในปี 2020 ส่งผลให้มีการจ่ายเงินรางวัลเป็นประวัติการณ์กว่า 6.7 ล้านดอลลาร์ พร้อมเงินเพิ่มอีก 280,000 ดอลลาร์เพื่อการกุศล

ในโปรแกรมรางวัลช่องโหว่ของ Android นั้น Google จ่ายเงิน 1.7 ล้านเหรียญสหรัฐโดยมีเพียง 13 รายการที่มีการส่งช่องโหว่ที่ทำงานเท่านั้น ซึ่งคิดเป็น 1 ล้านเหรียญสหรัฐในการจ่ายรางวัลช่องโหว่ ในบรรดารายงานที่น่าสังเกตคือรายงาน 11 ฉบับเกี่ยวกับตัวอย่างนักพัฒนา Android 11 และการหาประโยชน์จากรูทระยะไกลเพียงคลิกเดียว กำหนดเป้าหมายไปที่อุปกรณ์ Android สมัยใหม่ ส่งโดย Guang Gong และทีมงานของเขาที่ Alpha Lab ซึ่งเป็นเทคโนโลยี Qihoo 360 ร่วม บจ.

Google กล่าวว่าพวกเขาได้เปิดตัวโปรแกรมรางวัลนำร่องหลายโปรแกรมเพื่อสนับสนุนให้นักวิจัยสำรวจโปรแกรมอื่น ๆ พื้นที่ของระบบนิเวศ Android เช่น Android Auto OS, การเขียน fuzzers สำหรับโค้ด Android และ Android ชิปเซ็ต

การจ่ายเงินของ Chrome VRP เพิ่มขึ้น 83% จากปี 2019 โดยมีการแจกรางวัลเงินสด 2.1 ล้านดอลลาร์ให้กับนักวิจัยจากข้อบกพร่อง 300 รายการในปี 2020 ขณะเดียวกัน โปรแกรมรางวัลความปลอดภัยของ Google Play และโครงการคุ้มครองข้อมูลของนักพัฒนาได้จ่ายเงินให้กับนักวิจัยมากกว่า 270,000 ดอลลาร์ Google กล่าวว่าแอปติดตามโควิด-19 และแอปที่ใช้ Exposure Alert API ก็มีคุณสมบัติที่จะเข้าร่วมในโปรแกรมนี้เช่นกัน Google ยังเพิ่มรางวัลสูงสุดสำหรับช่องโหว่ที่เข้าเกณฑ์เป็น 20,000 ดอลลาร์

นอกเหนือจากเงินรางวัลแล้ว Google ยังแจกจ่ายเงินช่วยเหลือจำนวน 400,000 ดอลลาร์สหรัฐฯ ให้กับนักวิจัยด้านความปลอดภัยมากกว่า 180 คน นอกจาก Google แล้ว บริษัทเทคโนโลยีที่มีชื่อเสียงอื่นๆ ที่ดำเนินโปรแกรม Bug Bounty ที่คล้ายกันก็รวมอยู่ด้วย วอลคอมม์, เฟสบุ๊ค, OnePlus, ไมโครซอฟต์, เรดดิท และมอซซิลา