Google оголосила про п'ятикратне збільшення виплат за баги, знайдені в її системах і додатках у межах програми Vulnerability Reward Program. Тепер максимальна винагорода сягає $151 515 за один баг. Про це повідомляє Bleeping Computer.
"Оскільки наші системи з часом стали більш захищеними, ми знаємо, що пошук багів займає набагато більше часу – з огляду на це, ми раді повідомити, що збільшуємо суму винагороди у 5 разів", – заявили в Google.
Компанія наголошує, що нові умови застосовуються лише до репортів, які були надіслані з 11 липня. На додаток до підвищення виплат, компанія нещодавно розширила варіанти оплати, включаючи можливість отримання виплат через Bugcrowd.
| Приклад уразливості | Нова винагорода | Стара винагорода |
|---|---|---|
| Логічна помилка, що призвела до створення акаунта @gmail.com takeove | ($50,000 * 1.5) = $75,000 | $13,337 |
| XSS on idx.google.com | ($10,000 * 1.5) = $15,000 | $3,133.7 |
| Логічна помилка, що розкриває PII на home.nest.com | ($2,500 * 1.5) = $3,750 | $500 |
Із моменту запуску Програми винагород за знаходження уразливості (VRP) у 2010 році Google виплатила понад $50 мільйонів дослідникам безпеки, які повідомили про понад 15 000 вразливостей.
Лише 2023 року Google виплатив $10 мільйонів, а найбільшу винагороду отримав дослідник, який зібрав $113 337.
Найвища в історії VRP винагорода склала $605 000, виплачена у 2022 році за серію з п'яти багів безпеки в ланцюжку експлойтів для Android. Той же дослідник повідомив про ще один критичний ланцюжок експлойтів для Android у 2021 році, отримавши виплату в розмірі $157 000.