Google betaalde in 2023 $10 miljoen aan bugbounty-beloningen aan beveiligingsonderzoekers wereldwijd via zijn Vulnerability Rewards Program (VRP). Het bedrijf beloonde 632 onderzoekers uit 68 landen voor het vinden en veilig melden van beveiligingsproblemen in zijn producten en diensten. Het bedrag is iets lager dan de 12 miljoen dollar die het in 2022 betaalde.
Het bugbountyprogramma van Google leverde in 2023 $10 miljoen op
De VRP van Google bestaat nu al meer dan tien jaar. Het beloont geldprijzen aan beveiligingsonderzoekers voor het melden van bugs in zijn producten en diensten. Sinds 2010 heeft het bedrijf meer dan 59 miljoen dollar aan bugpremies uitgegeven. De hoogste jaarlijkse uitbetaling bedroeg $12 miljoen in 2022. Het prijzengeld bedroeg vorig jaar $10 miljoen, wat erop wijst dat de gemeenschap blijft deelnemen aan haar veiligheidsinspanningen. De hoogste beloning die een beveiligingsonderzoeker won was $113.337.
Volgens Google concentreerden VRP-deelnemers zich in 2023 meer op problemen met een hogere ernst. Dit komt waarschijnlijk omdat het bedrijf de beloning voor problemen met een hogere en kritieke ernst heeft verhoogd. Afgelopen mei kondigde het bedrijf een maximale beloning van $15.000 aan voor kritieke kwetsbaarheden. De Android-maker begon in juni ook met het aanbieden van bonusbeloningen voor rapporten aan specifieke VRP-doelen, wat onderzoekers verder motiveerde om kritieke beveiligingsfouten op te sporen.
Van de $10 miljoen betaalde Google $3,4 miljoen aan beloningen aan onderzoekers voor het vinden van kwetsbaarheden binnen zijn Android-ecosysteem. Het beloningsbedrag voor kwetsbaarheden in de Chrome-browser bedroeg in totaal $2,1 miljoen. Beveiligingsonderzoekers hebben 359 unieke bugrapporten ingediend binnen Chrome. Deze omvatten “een paar zeer impactvolle rapporten van al lang bestaande V8-bugs, waaronder één rapport van een V8 JIT-optimalisatiebug in Chrome sinds minstens M91.”
Google organiseerde een live hackevenement voor Wear OS en Android Automotive OS tijdens de ESCAL8-beveiligingsconferentie. Onderzoekers ontdekten meer dan twintig kritieke kwetsbaarheden op de twee platforms en wonnen een beloning van $ 70.000. Het bedrijf organiseerde ook een soortgelijke wedstrijd op de hardwear.io-conferentie. Het resulteerde in de ontdekking van 50 kwetsbaarheden in Nest, Fitbit en Wearables. Onderzoekers die deze problemen hebben opgegraven, hebben $ 116.000 aan beloningen in de wacht gesleept.
Generatieve AI valt nu onder de VRP van Google
Google bracht in 2023 verschillende wijzigingen en verbeteringen aan in zijn VRP. Naast het verhogen van de beloningen voor kritieke bugs en het introduceren van bonusbeloningen, begon het premies uit te bieden aan onderzoekers voor het vinden van bugs in zijn generatieve AI-producten zoals Gemini, voorheen bekend als Bard. Het bedrijf organiseerde een bugSWAT live-hacking-evenement gericht op LLM-producten, waarbij het 35 bugrapporten ontving, met een totaalbedrag van meer dan $ 87.000.
“We blijven ons inzetten voor het bevorderen van samenwerking, innovatie en transparantie met de beveiligingsgemeenschap”, aldus het Vulnerability Rewards-team van Google in een blogpost. “Onze voortdurende missie is om opkomende bedreigingen een stap voor te blijven, ons aan te passen aan evoluerende technologieën en de beveiligingspositie van de producten en services van Google te blijven versterken. We kijken ernaar uit om verdere vooruitgang te boeken in de wereld van cybersecurity.”
