Πέρυσι, η Google προσέφερε την πιο μεγάλη αμοιβή για την εύρεση και αναφορά ενός κρίσιμου exploit chain, μέσω του προγράμματος bug bounty της (περίπου 605.000 δολάρια). Συνολικά, η Google έδωσε πάνω από 12 εκατομμύρια δολάρια για τον εντοπισμό και την αναφορά 2.900 ευπαθειών στα προϊόντα της.
Android bug bounties
Η Google δημοσίευσε τα στοιχεία για τα προγράμματα ανταμοιβής για ευπάθειες (Vulnerability Reward Programs – VRPs) του 2022, δείχνοντας πώς οι ερευνητές ασφαλείας που συμμετέχουν στο bug bounty βοήθησαν στο να βελτιωθεί το επίπεδο ασφάλειας σε όλα τα προϊόντα της εταιρείας.
Όπως είπαμε και παραπάνω, η εταιρεία έδωσε τη μεγαλύτερη πληρωμή για μια αναφορά ενός expolit chain πέντε σφαλμάτων (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) στο Android. Αναφέρθηκε από τον gzobqq και η αμοιβή έφτασε τα 605.000 δολάρια.
Δείτε επίσης: Google: Εξετάζει προβλήματα συγχρονισμού του Gmail IMAP που επηρεάζουν το Outlook
Το 2021, ο ίδιος ερευνητής ανακάλυψε ένα άλλο exploit chain στο Android και έλαβε 157.000 $.
Συνήθως, η αμοιβή για τις ευπάθειες στο Android που υποβάλλονται μέσω του Google VRP είναι έως και 10.000 $, αλλά για exploit chains, η εταιρεία πληρώνει έως και 1 εκατομμύριο δολάρια.
Το 2022, η Google πλήρωσε 4,8 εκατομμύρια δολάρια σε bug bounty για εκατοντάδες σφάλματα Android.
Οι ερευνητές που είχαν βρει και αναφέρει τα περισσότερα σφάλματα ήταν οι:
- Aman Pandey (περισσότερα από 200 σφάλματα)
- Zinuo Han (150 σφάλματα)
- Yu-Cheng Lin (σχεδόν 100 σφάλματα)
Επιπλέον, η Google έδωσε 486.000 $ πέρυσι για 700 αναφορές μέσω του Android Chipset Security Reward Program (ACSRP).
Αμοιβές Chrome και OSS
Το 2022, η εταιρεία απένειμε επίσης πάνω από 4 εκατομμύρια δολάρια για 363 ευπάθειες που ανακαλύφθηκαν στον Chrome Browser και 110 προβλήματα ασφαλείας στο ChromeOS.
Όσον αφορά στο πρόγραμμα επιβράβευσης για προϊόντα open-source που ξεκίνησε τον Αύγουστο του 2022, βράβευσε περισσότερους από 100 κυνηγούς σφαλμάτων με πάνω από 110.000 $.
Δείτε επίσης: Φλόριντα: Ζητά από Google και Apple να επισημαίνουν “ξένα” apps
Εκτός από τις αμοιβές που παρέχονται στους ερευνητές ασφάλειας στα πλαίσια του προγράμματος bug bounty, η Google έχει χορηγήσει και πάνω από 250.000 δολάρια σε επιχορηγήσεις σε περισσότερους από 170 ερευνητές. Τα κονδύλια αυτά διατίθενται για άτομα που παρακολουθούν προϊόντα και υπηρεσίες της Google, ακόμη και αν δεν ανακαλύψουν καμία ευπάθεια.
Το 2022, η Google πλήρωσε 703 ερευνητές από 68 χώρες για τις αναφορές που υποβλήθηκαν μέσω των Vulnerability Rewards Programs και ήταν χορηγός για τα συνέδρια NahamCon και BountyCon που σχετίζονται με την ασφάλεια.
Η Google είπε σχετικά με τους ερευνητές και τη δουλειά τους: “Χωρίς τους απίστευτους ερευνητές ασφαλείας μας δεν θα ήμασταν εδώ για να μοιραστούμε αυτά τα καταπληκτικά νέα σήμερα. Σας ευχαριστούμε και πάλι για τη συνεχή σκληρή δουλειά σας… Σας ευχαριστούμε που βοηθήσατε να κάνουμε την Google, το Διαδίκτυο και τους χρήστες μας πιο ασφαλείς!“.
Δείτε επίσης: Google Pixel 7: Δεν υποστηρίζει το νεότερο πρότυπο 5G
Τα προγράμματα bug bounty προσφέρουν πολυάριθμα οφέλη στους οργανισμούς (όπως η Google) που επιθυμούν να βελτιώσουν την κατάσταση της κυβερνοασφάλειάς τους, ενώ παράλληλα εξοικονομούν χρόνο και χρήμα. Ενθαρρύνοντας εξωτερικούς ερευνητές να δοκιμάσουν τα συστήματά τους για ευπάθειες, οι επιχειρήσεις μπορούν να εντοπίσουν γρήγορα πιθανά ζητήματα, ενώ παράλληλα επωφελούνται από την αυξημένη ευαισθητοποίηση της ευρύτερης κοινότητας σε θέματα ασφάλειας. Επιπλέον, η προσφορά ανταμοιβών για επιτυχείς υποβολές μπορεί να δώσει κίνητρα στους ερευνητές να συνεχίσουν να συμμετέχουν σε αυτά τα προγράμματα, γεγονός που τελικά καθιστά όλους ασφαλέστερους στο διαδίκτυο!
Πηγή: www.bleepingcomputer.com