В 2022 году Google выплатила хакерам более 12 млн долларов за найденные уязвимости в своих продуктах
На днях Google в очередной раз заявила, что старается улучшить безопасность Android и других своих продуктов. Несмотря на то, что в компании есть целая команда разработчиков, работающих над этой задачей, уязвимости неизбежно остаются незамеченными. И тут на помощь приходят исследователи безопасности, хакеры и просто обычные пользователи, желающие найти проблему за вознаграждение. В этом плане 2022-й стал самым успешным годом для Google — в рамках программы Bug Bounty компания выплатила более 12 млн долларов за помощь в обнаружении уязвимостей на Android, Chrome и других платформах.
За найденные проблемы безопасности на Android Google заплатила 4,8 млн долларов, а самая большая единоразовая выплата составила 605 тыс. долларов. Программа Bug Bounty браузера Chrome впечатляет не меньше. В общей сложности она обошлась поисковому гиганту в 4 млн долларов, (большая часть выплат относится к Chrome, около 500 тыс. долларов — ChromeOS). Остальная часть суммы вознаграждений была выплачена по другим программам, включая Google Play и Open Source VRP. Последняя относится к проектам Google с открытым исходным кодом.
Если сравнивать с 2021 годом, то выплаты увеличились с 8,7 до 12 млн долларов. Отчасти это связано с тем, что компания начала предлагать дополнительные стимулы и добавила в Bug Bounty больше своих устройств. Этому также способствовал и запуск программы Open Source VRP. В текущем году Google хочет предложить больше экспериментов в рамках программы вознаграждений за поиск уязвимостей в Chrome, также предусмотрены бонусные выплаты для тех, кто найдёт баги и уязвимости в Chrome и ChromeOS. Помимо этого, компания добавила более 20 обучающих роликов по их обнаружению, что сделало этот процесс проще, чем раньше.
12 млн долларов может показаться очень большой суммой, но это мелочь по сравнению с теми рисками, которые представляют собой активно эксплуатируемые уязвимости.