.
O Google concedeu US$ 10 milhões a 632 caçadores de bugs no ano passado por meio de seus programas de recompensa por vulnerabilidade.
O total de 2023 do gigante da web representa uma ligeira queda em comparação com os US$ 12 milhões em recompensas que pagou no ano anterior. Esperançosamente, isso significa produtos mais seguros – e não mais pesquisadores voltando-se para o lado negro e ganhando dinheiro vendendo explorações em vez de divulgá-las aos fornecedores.
Para efeito de comparação, considere que a Microsoft pagou US$ 13,8 milhões a 345 pesquisadores entre 1º de julho de 2022 e 30 de junho de 2023, de acordo com os totais de recompensas mais recentes de Redmond.
Os destaques do Google em 2023 incluem categorias de recompensas mais recentes, incluindo a descoberta de falhas em seus produtos de IA e aplicativos para telefones Android, além de um novo programa de prêmios de bônus que paga periodicamente recompensas extras por tempo limitado para alvos de vulnerabilidade específicos.
A maior recompensa no ano passado atingiu US$ 113.337, embora a publicação da revisão do ano não diga qual programa pagou essa quantia e para quem.
Algumas das categorias mais bem pagas de 2023 incluíram Android VRP, que concedeu mais de US$ 3,4 milhões a pesquisadores que detectaram vulnerabilidades em dispositivos Android. O Google também aumentou no ano passado o valor máximo da recompensa para US$ 15.000 para bugs críticos do Android e lançou um novo VRP móvel que se concentra em aplicativos Android originais.
O Google também adicionou o Wear OS ao programa de recompensas para incentivar os caçadores de bugs a fuçar em seus smartwatches e outras tecnologias vestíveis. E em um hack-a-thon ao vivo para Wear OS e Android Automotive OS, os destinatários da recompensa por bugs receberam US$ 70.000 por encontrar mais de 20 vulnerabilidades críticas.
O Google também incentivou hackers éticos a testar cinco categorias de ataques em seus produtos de IA.
No ano passado, o rolo compressor do Android realizou um evento de hacking ao vivo bugSWAT direcionado a produtos LLM que produziu 35 relatórios, totalizando mais de US$ 87.000 em recompensas. Isso incluiu Hacking Google Bard – From Prompt Injection to Data Exfiltration e We Hacked Google AI por US$ 50.000.
Recompensas do Chrome
Jacobus descreve 2023 como “um ano de mudanças e experimentação” para o Chrome VRP do Google, que concedeu US$ 2,1 milhões aos caçadores de bugs que detectaram 359 vulnerabilidades exclusivas do Chrome em 2023.
O Chrome chama suas principais novas versões de “marcos” e, com o marco 116 alcançado em agosto, o Google adicionou MiraclePtr – esta é uma tecnologia para evitar a exploração de bugs de uso após liberação – em todas as plataformas do Chrome.
Isso resultou em menos relatórios de vulnerabilidade e recompensas mais baixas. No entanto, o Chrome VRP também adicionou o MiraclePtr Bypass Reward, que paga até US$ 100.115, para encorajar os pesquisadores a tentarem encontrar maneiras de contornar esse recurso de segurança.
Ele também lançou o Full Chain Exploit Bonus, que paga o triplo do valor normal da recompensa pela primeira exploração de cadeia completa do Chrome relatada e o dobro para quaisquer relatórios de acompanhamento.
“Embora estes dois grandes incentivos não tenham sido reclamados, estamos a deixar a porta aberta em 2024 para quaisquer investigadores que pretendam enfrentar estes desafios”, disseram-nos.
Claro, a questão com todas essas recompensas de bugs é: elas tornaram o software mais seguro?
A resposta curta é não, de acordo com Katie Moussouris, que desempenhou um papel fundamental em convencer os executivos da Microsoft de que Remond precisava de um programa de recompensas por divulgação de vulnerabilidades.
Moussouris, fundador e CEO da Luta Security, em entrevista anterior ao O registro que a culpa é do surgimento de plataformas de recompensa por bugs – e de empresas que investem em pagamentos em dinheiro e programas relacionados, em vez de desenvolver software seguro.
“Porque ambos são investimentos – não se trata apenas de pagamentos em dinheiro, mas do trabalho que você precisa fazer para realmente corrigir as vulnerabilidades”, disse ela. ®
.
