Google заплатить користувачам понад $151 000 за виявлення вразливостей кібербезпеки

Компанія Google оголосила про збільшення виплат за знайдені вразливості у своїх системах і додатках. Через те, що системи техногіганта стали більш захищеними та виявлення помилок тепер потребує більше часу, Google вирішила підвищити деякі виплати у п’ять разів.

У рамках програми Vul­ner­a­bil­i­ty Reward Pro­gram (VRP) тепер можна отримати до $151 515 за одну виявлену помилку безпеки. Ця сума включає $101 010 за RCE-уразливість у найбільш критичних системах компанії, помножені на коефіцієнт 1,5 за виняткову якість звіту. Всі виявлені вразливості будуть розглядатися згідно з новими правилами виплат. Google також розширила можливості отримання виплат, включивши платформу Bugcrowd для передачі інформації про уразливості.

Приклади нових виплат:

• Вразливість логіки, яка призводить до захоплення аккаунта @gmail.com: $75 000 (раніше $13 337);
• XSS-уразливість на idx.google.com: $15 000 (раніше $3 133.7);
• Помилка логіки, що розкриває особисту інформацію на home.nest.com: $3 750 (раніше $500)

На минулому тижні Google запустила нову програму винагород kvm­CTF, метою якої є покращення безпеки гіпервізора Ker­nel-based Vir­tu­al Machine (KVM). За повне виконання VM-експлойта в гіпервізорі KVM пропонується нагорода в розмірі $250 000.

З моменту запуску програми VRP у 2010 році Google виплатила понад $50 мільйонів дослідникам безпеки, які повідомили про понад 15 000 уразливостей. За минулий рік Google виплатила $10 мільйонів, при цьому найбільша нагорода склала $113 337. Найвища нагорода в історії VRP в розмірі $605 000 була виплачена досліднику gzobqq у 2022 році за серію з 5 уразливостей у ланцюжку експлойтів для Android.