Google tahun lalu membayar hadiah bug tertinggi melalui Program Penghargaan Kerentanan untuk laporan rantai eksploit kritis yang dihargai perusahaan sebesar $605.000.
Secara total, Google menghabiskan lebih dari $12 juta untuk lebih dari 2.900 kerentanan dalam produknya yang ditemukan dan dilaporkan oleh peneliti keamanan.
sumber: Google
Hadiah bug Android
Google diterbitkan statistik untuk Program Penghargaan Kerentanan (VRP) pada tahun 2022, memberikan gambaran tentang bagaimana komunitas riset keamanan berkontribusi untuk membuat produk perusahaan lebih aman.
Pembayaran terbesar adalah untuk laporan yang merinci rantai eksploit dari lima bug (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) di Android yang dikirimkan oleh gzobqq , yang dihadiahi $605.000.
Pada tahun 2021, peneliti yang sama menemukan dan melaporkan rantai eksploitasi kritis lainnya di Android dan menerima $157.000 – hadiah bug tertinggi dalam sejarah Android VRP pada saat itu.
Biasanya, hadiah untuk kerentanan Android yang dikirimkan melalui Google VRP mencapai $10.000 tetapi untuk rantai eksploitasi, perusahaan membayar hingga $1 juta.
Pada tahun 2022, Google membayar $4,8 juta sebagai hadiah untuk ratusan bug Android. Peneliti teratas yang melaporkan sebagian besar kerentanan adalah:
Google juga menghadiahkan $486.000 tahun lalu untuk 700 laporan keamanan melalui Android Chipset Security Reward Program (ACSRP) khusus undangan – program hadiah pribadi yang ditawarkan Google bekerja sama dengan pembuat chipset Android.
Hadiah Chrome dan OSS
Perusahaan juga membayar total $4 juta pada tahun 2022 untuk 363 kerentanan di Browser Chrome dan 110 masalah keamanan di ChromeOS.
Google mengumumkan bahwa tahun ini Chrome VRP akan mulai bereksperimen dan mungkin menawarkan peluang bonus untuk masalah keamanan yang dilaporkan di browser dan ChromeOS.
Itu program hadiah untuk produk sumber terbuka yang diluncurkan Google pada Agustus 2022 menghadiahkan lebih dari $110.000 kepada lebih dari 100 pemburu bug.
Selain hadiah yang dibayarkan kepada para peneliti, Google juga memberikan lebih dari $250.000 dalam bentuk hibah kepada lebih dari 170 peneliti. Dana ini untuk individu yang mengawasi produk dan layanan Google, meskipun mereka tidak menemukan kerentanan apa pun.
Pada tahun 2022, Google membayar 703 peneliti untuk laporan yang dikirimkan melalui Program Imbalan Kerentanan dan menjadi sponsor untuk konferensi terkait keamanan NahamCon dan BountyCon.
