.
Caçadores de bugs que encontraram brechas de segurança no Google – e também divulgaram detalhes dessas falhas para a Fábrica de Chocolate – ganharam mais de US$ 12 milhões em recompensas em 2022, marcando um ano recorde para os Programas de Recompensa de Vulnerabilidade (VRPs) da corporação em termos de pagamentos. e número de vulnerabilidades encontradas e corrigidas.
No total, mais de 2.900 pesquisadores de segurança relataram falhas e correções.
Este é um aumento em relação às recompensas de vulnerabilidade de 2021, que pagaram US$ 8,7 milhões a pesquisadores e também quebraram os recordes anteriores do Google.
Para comparação: Microsoft pagou US$ 13,7 milhões em recompensas de bugs distribuídas por 335 pesquisadores em 2021, com um pagamento de $ 200.000 Hyper-V Bounty como seu maior prêmio. Remond ainda não anunciou suas recompensas de bugs para 2022.
Na quinta-feira, o Google anunciou que o analista da Unidade 42 da Palo Alto Networks, Yuval Avrahami, levou o prêmio máximo: $ 133.337.
Avrahami encontrado várias vulnerabilidades e caminhos de ataque no piloto automático do Google Kubernetes Engine (GKE) que permitiriam que um invasor escapasse de seu pod, comprometesse o nó subjacente, escalasse privilégios para o nível de administrador e implantasse backdoors para manter esse acesso.
Isso levou a “vários melhorias de endurecimento no piloto automático”, de acordo com o Google.
O segundo, terceiro e quarto prêmios foram para Sivanesh Ashok e Sreeram KL. A dupla ganhou $ 73.331 por sua reportagem sobre Injeção de chave SSH no Google Compute Engine e $ 31.337 por sua pesquisa sobre como ignorar autorização nas estações de trabalho do Google Cloud e roubar o token de acesso de um usuário abusando do formato de um parâmetro de estado OAuth.
Eles também receberam $ 31.311 por um escrever no SSRF do lado do cliente para aquisição do Google Cloud Project. Isso pode ser usado para roubar o token de acesso de um usuário da Vertex AI, induzindo-o a clicar em um link malicioso.
Os vencedores do quinto lugar, Yuval Avrahami e Shaul Ben Hai, da Unidade 42, receberam $ 17.311 por encontrar vetores de escalonamento de privilégio em Kubernetes e vulnerabilidades em provedores de hospedagem Kubernetes, incluindo AKS do Azure, EKS da Amazon e GKE do Google.
Um pesquisador conhecido como Obmi ganhou o sexto prêmio, $ 13.373, por vulnerabilidades no recurso de upload de arquivo do Google Cloud Shell que pode permitir um ataque de script entre sites.
E, finalmente, Bugra Eskici recebeu $ 13.337 por relatar um erro de injeção de comando no Cloud Shell.
As recompensas recordes do ano passado vêm como o Google aumentou seus pagamentos para programas de vulnerabilidade existentes e adicionados novosincluindo um que incentiva os pesquisadores a relatar vulnerabilidades em projetos de código aberto com o objetivo de melhorar a segurança da cadeia de suprimentos de software.
Anunciado em agosto passado, o novo Programa de Recompensas de Vulnerabilidade de Software de Código Aberto (OSS VRP) paga aos caçadores de bugs entre US$ 100 e US$ 31.337, com os pagamentos mais altos indo para “vulnerabilidades incomuns ou particularmente interessantes”. ®
.
