Google a annoncé une multiplication par cinq des paiements pour les bogues trouvés dans ses systèmes et applications signalés via son Programme de récompense de vulnérabilité, avec une nouvelle prime maximale de 151 515 $pour une seule faille de sécurité.
« Comme nos systèmes sont devenus plus sécurisés au fil du temps, nous savons qu’il faut beaucoup plus de temps pour trouver des bogues – dans cet esprit, nous sommes très heureux d’annoncer que nous mettons à jour le montant de nos récompenses jusqu’à 5 fois », a déclaré Google.
La nouvelle récompense la plus élevée combine « 101 010$pour un RCE dans nos produits les plus sensibles, avec un modificateur 1,5 x appliqué pour une qualité de rapport exceptionnelle = 151 515$). »
Seuls les rapports de vulnérabilité soumis à partir d’aujourd’hui, le 11 juillet, à 00h00 UTC, pourront être payés à l’aide du nouveau tableau de récompenses.
En plus d’offrir des paiements plus élevés, la société a récemment élargi les options de paiement, y compris la possibilité de recevoir des paiements via Bugcrowd.
La section Montants des récompenses mise à jour des règles du VRP de Google fournit plus d’informations sur les modifications apportées par Google aux montants des récompenses et à la nouvelle structure de paiement.
Exemple De Vulnérabilité | Nouvelle Récompense | Ancienne Récompense |
---|---|---|
Faille logique menant au compte @gmail.com reprise | ($50,000 * 1.5) = $75,000 | $13,337 |
XSS sur idx.google.com | ($10,000 * 1.5) = $15,000 | $3,133.7 |
Faille logique divulguant les informations personnelles sur home.nest.com | ($2,500 * 1.5) = $3,750 | $500 |
Développements récents de Google VRP
La semaine dernière, Google a lancé kvmCTF, un nouveau VRP annoncé en octobre 2023 pour améliorer la sécurité de l’hyperviseur de machine virtuelle basé sur le noyau (KVM). kvmCTF se concentre sur les bogues accessibles par machine virtuelle dans l’hyperviseur KVM et offre une prime de 250 000 $pour les exploits d’évasion de machine virtuelle complets.
Il y a un an, la société a également triplé les récompenses pour les exploits de chaîne d’évasion de bac à sable Chrome jusqu’au 1er décembre 2023.
Depuis le lancement de son Programme de récompense des vulnérabilités (VRP) en 2010, Google a versé plus de 50 millions de dollars de primes aux chercheurs en sécurité qui ont signalé plus de 15 000 vulnérabilités.
L’année dernière seulement, Google a payé 10 millions de dollars, la récompense la plus élevée étant versée à un chasseur de primes qui a collecté 113 337 dollars.
La prime VRP la plus élevée de tous les temps était de 605 000$, versée à gzobqq en 2022 pour une série de cinq bogues de sécurité dans une chaîne d’exploits Android. Le même chercheur en sécurité a signalé une autre chaîne d’exploits Android critique en 2021, gagnant un paiement de 157 000$.