A Google bejelentette, hogy 2024-ben 11,8 millió dollárt osztott ki hibajavító programja keretében, 660 biztonsági kutatónak osztva ki a kifizetéseket. Ez átlagosan kutatónként körülbelül 18 000 dollárt jelent.
A vállalat legmagasabb egyéni kifizetése az évben elérte a 110 000 dollárt, így a program 2010-es indulása óta kifizetett hibajavító program teljes összege elérte a 65 millió dollárt.
Biztonsági fókusz: Chrome, Android és Google-eszközök
- A 2024-es kifizetések körülbelül fele azoknak a kutatóknak jutott, akik a Chrome, az Android és más Google-eszközök sebezhetőségeit azonosították – ez kiemeli a Google elkötelezettségét a legszélesebb körben használt termékeinek biztonságának megerősítése iránt.
- A Google tavaly módosította a jutalomprogram struktúráját, növelve a potenciális jutalmakat. Ennek eredményeként a vállalat sebezhetőségi jutalmazási programjai (VRP-k) mostantól akár 151 515 dollárt is kínálnak bizonyos sebezhetőségekért, 300 000 dollárt a mobil VRP-ért, 151 515 dollárt a felhő VRP-ért és akár 250 000 dollárt a Chrome-mal kapcsolatos felfedezésekért.
- Egy blogbejegyzésben Dirk Göhmann, a Google munkatársa megosztotta, hogy az Android és Google eszközök biztonsági jutalmazási programjában, valamint a Google mobil sebezhetőségi jutalmazási programjában részt vevő kutatók több mint 3,3 millió dollár jutalmat kerestek 2024-ben. Az összesített jelentések 8%-os csökkenése ellenére a vállalat a kritikus és magas kockázatú sebezhetőségek tekintetében enyhe, 2%-os növekedést tapasztalt.
A legfontosabb frissítések a következők:
- A felhő VRP a legfelső szintű jutalmakat akár ötszörösére is növelte júliusban.
- A Chrome biztonsági hibáinak jutalmak most meghaladják a 250 000 dollárt.
- A MiraclePtr megkerülési jutalmak több mint kétszeresére, 250 128 dollárra nőttek, szemben a bevezetéskori 100 115 dollárral. A kvmCTF 2023 októberi indulása, egy olyan program, amelynek célja a kernel-alapú virtuális gép (KVM) biztonságának fokozása, és 250 000 dollárt ajánl fel a teljes virtuális gépi menekülési hiba kihasználásokért.
A Google hibajutalom-programjának hatása
- Az első VRP-program 2010-es elindítása óta a Google összesen 65 millió dollárt osztott ki hibajutalomként. A legmagasabb egyszeri kifizetés 2024-ben meghaladta a 110 000 dollárt.
- 3,4 millió dollárt ítéltek oda 137 Chrome VRP-kutatónak érvényes biztonsági hibák felfedezéséért.
- A 2024-es év legmagasabb hibajutalomja 100 115 dollár volt, amelyet egy MiraclePtr megkerülő sebezhetőségért fizettek ki.
- Több mint 3,3 millió dollárt fizettek ki az Android és Google Eszközök Biztonsági Jutalmazási Programján, valamint a Google Mobil Sebezhetőségi Jutalmazási Programján keresztül benyújtott jelentésekért. Biztonsági kezdeményezések bővítése
- A Google két bugSWAT eseményt és négy init.g workshopot is szervezett, amelyek célja a biztonsági kutatók következő generációjának támogatása és képzése volt.
- Emellett 2024 volt a Google első teljes éve, amikor mesterséges intelligenciával kapcsolatos hibajavításokat hajtott végre. Bár az ebben a kategóriában kifizetett összegek szerények maradtak, összesen 55 000 dollárt tettek ki, ez jelzi a vállalat növekvő figyelmét a mesterséges intelligencia biztonságára.
Előretekintés a 2025-ös évre
2025-re tekintve a Google ünnepli a sebezhetőségi jutalmazási programjának 15. évfordulóját. Bár a mérföldkőnek számító évre vonatkozóan nem jelentettek be konkrét változásokat, a vállalat továbbra is elkötelezett a kutatók digitális biztonsághoz való hozzájárulásának jutalmazása mellett.
