Google wypłaciło w zeszłym roku 6,5 mln USD w nagrodach za znalezione błędy
Amerykański gigant traktuje swój program bardzo poważnie, dlatego też poświęca na niego znaczne fundusze - w zeszłym roku kwota była wyjątkowo wysoka i wyniosła w sumie 6,5 mln dolarów.
W dzisiejszych czasach wiele firm polega na swoich programach bug bounty, czyli swoistym zaproszeniu do szukania i zgłaszania znalezionych podatności w zamian za nagrodę finansową, a Google nie jest tu żadnym wyjątkiem. Dziś dowiadujemy się jednak, że w zeszłym roku koncern wydał na ten program blisko dwa razy więcej niż w roku poprzedzających, bo kwota urosła z 3,4 do 6,5 mln USD, co może jednocześnie oznaczać, że w oprogramowaniu firmy było wiele błędów, które należało załatać.
Google podkreśla też, że program Vulnerability Reward Programs (VRP) działa już od 2010 roku i w jego ramach wypłaciło już łącznie 21 mln dolarów! Wracając jednak do najnowszego raportu, możemy się również dowiedzieć, że największa pojedyncza nagroda wyniosła 201 337 USD i trafiła do Guanga Gonga z Alpha Labs, który odkrył dużą podatność w smartfonie Pixel 3. Jeżeli zaś chodzi o to, jak wypłaty rozłożyły się między usługi Google, to 2,1 mln USD poszło na podatności znalezione w produktach Google, 1,9 mln na Android VRP, 1 mln na Chrome VRP, a 800 000 USD na nagrody za błędy wyłapane w Google Play.
Warto jednak podkreślić, że nie wszystkie pieniądze wpadły na prywatne konta, bo naukowcy byli w ubiegłym roku bardzo hojni i zdecydowali się przeznaczyć w sumie 500 tysięcy dolarów na cele charytatywne, co zdaniem Google jest kwotą 5 razy wyższą niż najwyższa dotacja w historii jego programu. Trzeba też zaznaczyć, że wysoka kwota wypłaconych nagród wiąże się nie tylko z ilością znalezionych podatności, ale i zmianami w samym programie. Google podniosło bowiem stawki za wykryte luki, np. za podstawowe w Chrome VRP z 5 do 15 tysięcy USD, a maksymalne z 15 do 30 tysięcy USD.
Najwyższa nagroda przewidziana w programie to 1 mln USD Android Security Reward, którego chyba nie trzeba tłumaczyć i obejmuje ona teraz nie tylko 8 najpopularniejszych aplikacji, ale i wszystkie inne z co najmniej 100 milionami instalacji. I nie jest to jedyny producent, który ostatnio dofinansował swój program w ten sposób, bo trzeba wspomnieć, że w zeszłym miesiącu Apple rozszerzyło swoje bug bounty na wszystkich naukowców, a wcześniej obowiązywały zaproszenia i ograniczenie do podatności w iOS, jednocześnie zwiększając maksymalną nagrodę z 200 000 USD do 1 mln USD.
Źródło: GeekWeek.pl/Google
