Бесплатно Экспресс-аудит сайта:

13.07.2024

Рекордные выплаты за баги: Google объявляет новые суммы вознаграждений

Google объявила о повышении выплат за найденные уязвимости в своих системах и приложениях. Поскольку системы компании стали более защищёнными, и теперь требуется гораздо больше времени на обнаружение ошибок, Google решил увеличить некоторые выплаты в 5 раз.

В рамках программы Vulnerability Reward Program (VRP) теперь можно получить до $151 515 за одну выявленную ошибку безопасности. Сумма включает в себя $101 010 за RCE-уязвимость в наиболее чувствительных системах компании, умноженные на коэффициент 1,5 за исключительное качество отчёта. Все обнаруженные уязвимости будут рассматриваться в соответствии с новыми правилами выплат.

Помимо увеличения сумм вознаграждений, Google расширила возможности получения выплат, включив возможность получения денег через платформу Bugcrowd . В обновлённом разделе правил Google VRP можно найти подробную информацию о новых суммах вознаграждений и структуре выплат.

Примеры новых выплат:

  • Уязвимость логики, приводящая к захвату аккаунта @gmail.com: $75 000 (ранее $13 337);
  • XSS-уязвимость на idx.google.com: $15 000 (ранее $3 133.7);
  • Ошибка логики, раскрывающая личную информацию на home.nest.com: $3 750 (ранее $500).

Пример расчета увеличенных выплат

На прошлой неделе Google запустила новую программу вознаграждений kvmCTF, целью которой является улучшение безопасности гипервизора Kernel-based Virtual Machine (KVM). За полное выполнение VM-эксплойта в гипервизоре KVM предлагается награда в размере $250 000.

С момента запуска программы VRP в 2010 году Google выплатила более $50 миллионов исследователям безопасности, которые сообщили о более 15 000 уязвимостей. За прошлый год Google выплатила $10 миллионов, при этом самая большая награда составила $113 337.

Самая высокая награда в истории VRP в размере $605 000 была выплачена исследователю gzobqq в 2022 году за серию из 5 уязвимостей в цепочке эксплойтов для Android. Этот же исследователь сообщил о другой критической цепочке эксплойтов для Android в 2021 году, получив выплату в $157 000.