Google объявила, что выплатила более $15 миллионов с момента запуска в ноябре 2010 года своей программы вознаграждений за ошибки.
Только за последний год компания распределила 3,4 миллиона долларов среди 317 различных исследователей в области безопасности. Эта цифра немного больше прошлогодней – $2,9 миллиона долларов, которые были выделены 274 исследователям. Половину прошлогодних премий – 1,7 миллиона долларов – присудили исследователям, которые обнаружили уязвимости в Android и Chrome.
Программа Google Bug Bounty является отличным дополнением к существующим программам внутренней безопасности. Это мотивирует как отдельных исследователей, так и группы находить недостатки и сообщать об этом. Такой подход снижает риск злонамеренного использования этих ошибок, а также продажи информации третьим лицам. Награждения исследователей мелочь для компании по сравнению с стоимостью потенциальных последствий от серьезных уязвимостей.
Финансовое вознаграждение Google за найденные ошибки варьируется от 100 долларов до $200 тысяч в зависимости от уровня риска обнаружения. К примеру, в 2018 году самая большая награда составила $41 тысячу.
Google также поделилась тремя особыми историями 2018 года:
- Эзекиль Перейра, 19-летний исследователь из Уругвая. Он обнаружил ошибку, позволяющую получить удаленный доступ к консоли Google Cloud Platform.
- Томаш Боярски из Польши. Обнаружил целый ряд ошибок, что позволило ему стать лучшим охотником за ошибками. На призовые деньги у него получилось открыть свой ресторан.
- Дмитрий Лукьяненко, исследователь из Минска, Беларусь. Получил вознаграждение в размере 1337 долларов за обнаружение множества ошибок. Он стал частью программы грантов Google VRP. Программа обеспечивает финансовую поддержку охотникам за ошибками на full-time, даже если они не находят и не сообщают об ошибке.
Программа Google Bug Bounty постоянно растет, как в разнообразии продуктов, так и в финансировании. К примеру, за взлом Chromebook можно получить до $100 тысяч, а за Android – до $200 тысяч.