Google utbetalte 10 millioner dollar i feilbelønninger til sikkerhetsforskere i 2023

0
36

google-bug-bounty-2023.png Google

De av dere som er dyktige til å finne sikkerhetsfeil og andre feil i Googles produkter og tjenester kunne ha delt på de 10 millioner dollarene selskapet betalte ut i 2023. Tirsdag avslørte søkegiganten sin store opptelling av priser til 632 insektjaktende forskere i 68 land.

Selv om 10 millioner dollar ble delt av hundrevis av mennesker, var den høyeste belønningen ingenting å spotte: 113 337 dollar. Google ga ikke navn til mottakeren eller røpet hvilken eller hvilke feil denne spesifikke forskeren avdekket. Imidlertid pekte selskapet ut og takket to personer – Zinuo Han (@ele7enxxh) fra OPPO Amber Security Lab og Yu-Cheng Lin (林禹成) (@AndroBugs) – som de som er blant de beste feiljegerne som rapporterer Android-feil.

Også: Google utvider bug-bounty-programmet til å inkludere belønninger for AI-angrepsscenarier

Forskerne som fant store feil i Android delte mer enn 3,4 millioner dollar i belønninger da Google i 2023 hevet maksimumsbeløpet for å lokalisere kritiske sårbarheter i mobil-operativsystemet til 15 millioner dollar. Selskapet sa at økningen i Android-bug-bounty førte til at forskere fokuserte på å rapportere mer alvorlige feil.

De som avdekket feil i Google Chrome fikk også sunne utbetalinger. Til sammen delte forskere som rapporterte 359 unike sikkerhetsfeil i Googles nettleser $2,1 millioner i belønninger. En person som oppdaget en vedvarende og langvarig feil i V8 JavaScript-motorens Just-In-Time (JIT) kompilator tok hjem en belønning på $30 000.

Google fremhevet også live hacking-hendelser som utfordret forskere til å spore opp sikkerhetsfeil personlig. En hackerhendelse i 2023 på ESCAL8-konferansen fokuserte på sårbarheter i Wear OS og Android Auto, noe som resulterte i $70 000 delt mellom forskere som fant mer enn 20 kritiske feil. På live-arrangementer arrangert av hardware.io i 2023 delte bugjegere $116 000 for å oppdage hull i Googles Nest-, Fitbit- og wearables-produkter.

Også i 2023 kjørte Google en bugSWAT live-hacking-event fokusert på sin store språkmodell AI-er. Forskerne ved arrangementet tjente mer enn $87 000 og rapporterte om 35 forskjellige feil, inkludert de som er beskrevet i Johann, Joseph og Kai's “Hacking Google Bard – From Prompt Injection to Data Exfiltration” og Roni, Justin og Josephs “We Hacked Google A.I. for 50 000 dollar."

De 10 millioner dollarene som Google betalte i skuddpremier i 2023 var lavere enn 12 millioner dollar selskapet brukte i 2022. Som diagrammet øverst viser, har imidlertid skuddsummen jevnt og trutt. steget gjennom årene, og vokste fra 2 millioner dollar i 2015 til 6,5 millioner dollar i 2019 til 8,7 millioner dollar i 2021. Økningene og oppdagelsen av mer betydelige og kritiske feil viser effektiviteten til crowdsourcing for å bidra til å sikre noen av produktene og tjenestene vi bruker hver gang. dag.