Google anunció un aumento de cinco veces en las recompensas pagadas por errores encontrados en sus sistemas y aplicaciones reportados a través de su programa de recompensas por vulnerabilidades, con una nueva recompensa máxima de 151.515 dólares por una sola violación de seguridad.
“Con el tiempo, nuestros sistemas se han vuelto más seguros y sabemos que lleva mucho más tiempo detectar errores. Con esto en mente, estamos muy contentos de anunciar que actualizaremos los montos de nuestras recompensas hasta 5 veces”, dijo Google. dicho.
El nuevo premio más alto combina “$101 010 por un RCE en nuestros productos más sensibles, con un modificador de 1,5x aplicado para una calidad de informes excepcional = $151 515”.
Solo los informes de vulnerabilidad enviados a partir de hoy, 11 de julio a las 00:00 UTC, serán elegibles para pagar usando la nueva tabla de recompensas.
Además de ofrecer pagos más altos, la compañía ha ampliado recientemente sus opciones de pago, incluida la capacidad de recibir pagos a través de Bugcrowd.
La actualización Cantidades de recompensa La sección de reglas de Google VRP proporciona más información sobre los cambios de Google en los montos de las recompensas y la nueva estructura de pago.
| Ejemplo de vulnerabilidad | Nueva recompensa | Antigua recompensa |
|---|---|---|
| Fallo lógico que llevó a la adquisición de la cuenta @gmail.com | ($50.000 * 1,5) = $75,000 | $13,337 |
| XSS en idx.google.com | ($10.000 * 1,5) = $15,000 | $3.133,7 |
| Fallo lógico que revela información de identificación personal en home.nest.com | ($2500 * 1,5) = $3,750 | $500 |
Desarrollos recientes de Google VRP
La semana pasada, Google lanzó kvmCTF, un nuevo VRP anunciado en octubre de 2023 para mejorar la seguridad del hipervisor de máquinas virtuales basadas en kernel (KVM). kvmCTF se centra en errores accesibles a las máquinas virtuales en el hipervisor KVM y ofrece una recompensa de 250.000 dólares por vulnerabilidades completas de evasión de máquinas virtuales.
Hace un año, la compañía también triplicó las recompensas por los exploits de la cadena de escape de Chrome Sandbox hasta el 1 de diciembre de 2023.
De su Programa de Recompensa por Vulnerabilidad (VRP) fue lanzado en 2010Google pagó más de 50 millones de dólares en recompensas a investigadores de seguridad que informaron sobre más de 15.000 vulnerabilidades.
El año pasado, Google pagó 10 millones de dólaresLa recompensa más alta se la pagó a un cazarrecompensas que recaudó 113.337 dólares.
La recompensa de VRP más alta jamás pagada fue de 605.000 dólares, pagada a gzobqq en 2022 por una serie de cinco errores de seguridad en una cadena de exploits de Android. El mismo investigador de seguridad informó sobre otra cadena de exploits críticos para Android en 2021, que resultó en un pago de 157.000 dólares.
