.
O que você precisa saber
- Um total de 632 pesquisadores de 68 países receberam recompensas de bug bounty no ano passado, com o maior pagamento único chegando a US$ 113.337.
- O Google expandiu seu Programa de Recompensa de Vulnerabilidade em 2023 para incluir IA generativa, hospedando um evento de hacking ao vivo direcionado a grandes modelos de linguagem.
- Recompensas significativas foram dadas para vulnerabilidades em dispositivos Android e Google, com um pagamento máximo aumentado de US$ 15.000 para problemas críticos.
O Google distribuiu US$ 10 milhões a pesquisadores de todo o mundo em 2023 para detectar e sinalizar com segurança problemas de segurança em seus produtos e serviços.
No ano passado, 632 pesquisadores de 68 países diferentes receberam recompensas, mas o valor total foi um pouco menor em comparação com os US$ 12 milhões que o Programa de Recompensa de Vulnerabilidade do Google concedeu aos pesquisadores em 2022. O maior pagamento por um relatório de vulnerabilidade em 2023 atingiu US$ 113.337, conforme Postagem do blog do Google.
Em 2023, o Google fez uma nova adição ao VRP ao incluir IA generativa. O gigante das buscas organizou um evento de hacking ao vivo voltado para grandes modelos de linguagem, onde os pesquisadores tentaram extrair segredos de Bard, agora Gemini, fornecendo-lhe instruções específicas. O Google arrecadou 35 relatórios deste evento, pagando mais de US$ 87.000 em recompensas.
O Google destacou dois projetos principais: “Hacking Google Bard – From Prompt Injection to Data Exfiltration” e “We Hacked Google AI for $50.000”.
Quanto aos dispositivos Android e do próprio Google, a empresa concedeu US$ 3,4 milhões. A empresa também aumentou o pagamento máximo para vulnerabilidades críticas nesta categoria para US$ 15.000.
O Google também trouxe o Wear OS para o programa, convidando pesquisadores de segurança para relatar bugs e vulnerabilidades na plataforma wearable. Distribuiu US$ 70.000 por 20 descobertas críticas no Wear OS e no Android Automotive OS.
Os pesquisadores do Google Chrome também obtiveram uma parte do pagamento, arrecadando US$ 2,1 milhões por 359 relatórios exclusivos. Eles abordaram alguns problemas de longa data com a codificação V8 que haviam passado despercebidos antes.
Outro destaque é a introdução de MiraclePtr no Chrome M116, com o objetivo de proteger contra vulnerabilidades UAF Use-After-Free não renderizadoras.
Depois que essas falhas foram consideradas “altamente mitigadas” com a introdução de MiraclePtro Google lançou uma classe separada de recompensas especificamente para contornar o próprio mecanismo de proteção.
O Google também concedeu US$ 116 mil por 50 relatórios sobre problemas encontrados no Nest, Fitbit e wearables.
Entretanto, a empresa reforçou os pagamentos para relatórios de maior qualidade, incentivando os investigadores a concentrarem-se em questões mais graves.
.
