В 2023 году Google выплатила $10 млн по своей глобальной программе багбаунти исследователям и белым хакерам за выявление уязвимостей в своих сервисах и проектах Chrome, Android, Google Play, продуктах Google и открытом ПО компании. Это на $2 млн меньше, чем в 2022 году.
Эксперты считают, что, хотя эта сумма меньше, чем вознаграждения за уязвимости от Google в 2022 году, сумма по-прежнему значительная, а политика компании демонстрирует высокий уровень заинтересованности для участия сообщества по ИБ в усилиях Google по обеспечению безопасности. Для сравнения, «Яндекс» в 2023 году выплатил исследователям $770 тыс. в рамках своего багбаунти «Охота за ошибками»
Самая высокая награда за отчёт об уязвимостях в сервисах Google в 2023 году составила $113 337. Выплаты получили 632 белых хакера из 68 стран мира.
Общая сумма выплат от Google с момента запуска программы багбаунти в 2010 году достигла $59 млн. в качестве вознаграждения исследователям безопасности из 84 разных стран за сообщения о более чем 15 тыс. уязвимостей.
За найденные уязвимости в Android Google в 2023 году выплатила более $3,4 млн. Другой крупный программный проект Google, браузер Chrome, также стал объектом исследования. По нему белые хакеры прислали 359 отчётов об ошибках безопасности, за которые Google выплатила в 2023 году в общей сложности $2,1 млн. Другие большие выплаты компании относились к отчётам по уязвимостям в облачных ИИ-продуктах, таких как Google Cloud и чат-бот Google Gemini (Bard).
Также Google в 2023 году продолжила программу Mobile VRP для нахождения уязвимостей в сторонних приложений Android. Компания открыла доступ к онлайн-площадке Bughunters blog, где белые хакеры могут обмениваться идеями и мерами безопасности в интернете. Помимо программ багбаунти Google провела в 2023 году несколько конференций по ИБ, где проводились онлайн и офлайн различные технические хакерские мероприятия и встречи, семинары и хакатоны.
Дополнительно в прошлом году Google выделила более $200 тыс. в виде грантов исследователям безопасности, а также принимала отчёты по программе Android Chipset Security Reward Program (ACSRP), доступной только по инвайтам. Это частная программа вознаграждений Google, которая работает в партнёрстве с разработчиками чипсетов для Android.
Источник: habr.com
