Google, sistemlerinde ve uygulamalarında bulunan ve Güvenlik Açığı Ödül Programı kapsamında bildirilen hatalar için ödemelerde beş kat artış yapıldığını duyurdu ve tek bir güvenlik açığı için yeni maksimum ödül olarak 151.515 dolar belirlendi.
Google, “Sistemlerimiz zamanla daha güvenli hale geldikçe, hataları bulmanın çok daha uzun sürdüğünü biliyoruz. Bunu aklımızda tutarak, ödül miktarlarımızı 5 katına kadar güncelleyeceğimizi duyurmaktan büyük heyecan duyuyoruz” dedi.
Yeni en yüksek ödül, “en hassas ürünlerimizdeki bir RCE için 101.010 $, olağanüstü rapor kalitesi için uygulanan 1,5x değiştiriciyle = 151.515 $” birleştirildi.
Sadece bugün, 11 Temmuz 00:00 UTC’den itibaren gönderilen güvenlik açığı raporları yeni ödül tablosu kullanılarak ödenmeye uygun olacak.
Şirket, daha yüksek ödemeler sunmanın yanı sıra yakın zamanda Bugcrowd aracılığıyla ödeme alma olanağı da dahil olmak üzere ödeme seçeneklerini genişletti.
Google VRP kurallarının güncellenen Ödül Miktarları bölümü, Google’ın ödül miktarlarındaki değişiklikleri ve yeni ödeme yapısı hakkında daha fazla bilgi sağlıyor.
Örnek Güvenlik Açığı | Yeni Ödül | Eski Ödül |
---|---|---|
@gmail.com hesabının ele geçirilmesine yol açan mantık hatası | (50.000 $ * 1,5) = 75.000 dolar | 13.337 dolar |
idx.google.com’da XSS | (10.000 $ * 1,5) = 15.000 dolar | 3.133,7 dolar |
home.nest.com’da PII ifşa eden mantık hatası | (2.500 $ * 1,5) = 3.750 dolar | $500 dolar |
Son Google VRP gelişmeleri
Google, geçen hafta, Çekirdek tabanlı Sanal Makine (KVM) hipervizörünün güvenliğini artırmak için Ekim 2023’te duyurulan yeni bir VRP olan kvmCTF’yi kullanıma sundu. kvmCTF, KVM hipervizöründeki VM’e erişilebilen hatalara odaklanıyor ve tam VM kaçış istismarları için 250.000 dolarlık ödül sunuyor.
Şirket, bir yıl önce de 1 Aralık 2023’e kadar Chrome sandbox kaçış zinciri istismarları için ödülleri üç katına çıkarmıştı.
Google, 2010 yılında Güvenlik Açığı Ödül Programı’nı (VRP) başlattığından beri 15.000’den fazla güvenlik açığı bildiren güvenlik araştırmacılarına 50 milyon dolardan fazla ödül ödedi.
Google sadece geçen yıl 10 milyon dolar ödül ödedi ve en yüksek ödül, 113.337 dolar toplayan bir ödül avcısına ödendi.
Şimdiye kadarki en yüksek VRP ödülü, 2022’de Android exploit zincirindeki beş güvenlik hatası için gzobqq’ya ödenen 605.000 dolardı. Aynı güvenlik araştırmacısı, 2021’de başka bir kritik Android exploit zincirini bildirerek 157.000 dolarlık bir ödeme elde etti.