В 2022 году Google выплатил охотникам за багами $12 млн

Google подвел итоги программы по вознаграждению за уязвимости (VRP), найденные в продуктах компании в 2022-м году.

За год при помощи исследователей компании удалось выявить и устранить более 2900 проблем в безопасности своих продуктов, а общая сумма вознаграждения, выплаченного за найденные уязвимости, составила более $12 млн.

Для Google это своего рода рекорд, и в дальнейшем компания рассчитывает расширить действие программы VRP на большее количество продуктов и увеличить количество участвующих в ней охотников за багами.

Из общей суммы выплаченных вознаграждений $4,8 млн пришлось на уязвимости, найденные в OС Android. В них входит самая крупная выплата в 2022 году в размере $605 тысяч, которую получил исследователь gzobqq за отчет с подробным описанием цепочки эксплойтов из пяти ошибок (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) в Android.

За найденные уязвимости в Chrome исследователи получили $4 млн. Из которых $3,5 млн пришлись на обнаруженные ошибки безопасности в браузере Chrome, а $500 тысяч – на уязвимости в ChromeOS. За уязвимости, найденные в открытом ПО, Google выплатил охотникам за багами $110 тысяч.

В целом, за год в программе Google VRP получили вознаграждение за свои отчеты 703 исследователя из 68 стран мира.

Помимо наград, выплачиваемых исследователям безопасности, в 2022 году Google также предоставил более $250 тысяч в виде грантов более чем 170 исследователям. Эти средства предназначены для людей, которые тщательно следят за продуктами и услугами Google, даже если и не находят никаких уязвимостей.

Отметим, в 2021 году самое крупное вознаграждение составило $157 тысяч, в 2019 году – $201 тысячу, а в 2018 году — $41 тысячу.