Google geçen yıl, şirketin 605.000 ABD Doları değerinde olduğu kritik bir istismar zinciri raporu için Güvenlik Açığı Ödül Programı aracılığıyla şimdiye kadarki en yüksek hata ödülünü ödedi.
Google, güvenlik araştırmacıları tarafından keşfedilen ve bildirilen ürünlerindeki 2.900’den fazla güvenlik açığı için toplamda 12 milyon doların üzerinde para harcadı.
kaynak: Google
Android hata ödülleri
Google, 2022’de Güvenlik Açığı Ödül Programları (VRP’ler) istatistiklerini yayınlayarak, güvenlik araştırma topluluğunun şirket ürünlerini daha güvenli hale getirmeye nasıl katkıda bulunduğuna dair bir genel bakış sağladı.
En büyük ödeme, gzobqq tarafından Android’de sunulan beş hatadan (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) yararlanma zincirini detaylandıran bir rapor içindi. 605.000 $ ile ödüllendirildi.
2021’de aynı araştırmacı, Android’de başka bir kritik istismar zincirini keşfedip bildirdi ve o sırada Android VRP tarihindeki en yüksek hata ödülü olan 157.000 $ aldı.
Tipik olarak, Google VRP aracılığıyla gönderilen Android güvenlik açıkları için ödül 10.000 ABD dolarına kadardır, ancak istismar zincirleri için şirket 1 milyon ABD doları kadar ödeme yapar.
2022’de Google, yüzlerce Android hatası için 4,8 milyon dolar ödül ödedi. Güvenlik açıklarının çoğunu bildiren en iyi araştırmacılar şunlardır:
Google ayrıca, Google’ın Android yonga seti üreticileriyle işbirliği içinde sunduğu özel bir ödül programı olan, yalnızca davetlilere özel Android Chipset Security Reward Program (ACSRP) aracılığıyla geçen yıl 700 güvenlik raporu için 486.000 ABD doları ödül verdi.
Chrome ve OSS ödülleri
Şirket ayrıca 2022’de Chrome Tarayıcıdaki 363 güvenlik açığı ve ChromeOS’teki 110 güvenlik sorunu için toplam 4 milyon dolar ödedi.
Google, bu yıl Chrome VRP’nin denemelere başlayacağını ve tarayıcıda ve ChromeOS’ta bildirilen güvenlik sorunları için bonus fırsatlar sunabileceğini duyurdu.
Google’ın Ağustos 2022’de başlattığı açık kaynaklı ürünler ödül programı, 100’den fazla böcek avcısına 110.000 doların üzerinde ödül verdi.
Araştırmacılara ödenen ödüllerin yanı sıra, Google ayrıca 170’ten fazla araştırmacıya 250.000 dolardan fazla hibe verdi. Bu fonlar, herhangi bir güvenlik açığı bulamasalar bile Google ürünlerini ve hizmetlerini izleyen kişiler içindir.
2022’de Google, Güvenlik Açığı Ödül Programları aracılığıyla gönderilen raporlar için 703 araştırmacıya ödeme yaptı ve güvenlikle ilgili NahamCon ve BountyCon konferanslarına sponsor oldu.