ProHoster > Blog > notícias da internet > Em 2019, o Google pagou US$ 6.5 milhões em recompensas pela identificação de vulnerabilidades

Em 2019, o Google pagou US$ 6.5 milhões em recompensas pela identificação de vulnerabilidades

Google resumido programas de recompensa pela identificação de vulnerabilidades em seus produtos, aplicativos Android e diversos softwares de código aberto. O valor total das recompensas pagas em 2019 foi de US$ 6.5 milhões, dos quais US$ 2.1 milhões foram pagos por vulnerabilidades em serviços do Google, US$ 1.9 milhão no Android, US$ 1 milhão no Chrome e US$ 800 mil em aplicativos do Google Play (o restante foi alocado para doações). Para efeito de comparação, em 2018, foi pago um total de US$ 3.4 milhões e, em 2015, US$ 2 milhões. Ao longo de nove anos, o valor total dos pagamentos foi de US$ 9 milhões.

Em 2019, o Google pagou US$ 6.5 milhões em recompensas pela identificação de vulnerabilidades

461 pesquisadores foram premiados. O maior pagamento de 201 mil dólares recebeu pesquisador Guang Gong, que identificou uma vulnerabilidade que permite a execução remota de código no dispositivo Pixel 3 (foram recebidos US$ 161 mil por vulnerabilidades no Android e 40 mil por vulnerabilidades no Chrome).

Em 2019, o Google foi introduzido um prêmio para identificar vulnerabilidades em aplicativos Android populares, e o custo das informações sobre uma vulnerabilidade explorada remotamente em aplicativos Android do Google aumentou de 5 para 20 mil dólares, vazamento de dados e acesso a componentes protegidos de 1000 para 3000 dólares. A recompensa por uma exploração que comprometa completamente um Chromebook ou Chromebox no modo de acesso de convidado aumentou para US$ 150.

O pagamento máximo para criar um exploit para escapar do ambiente sandbox do Chrome foi aumentado de 15 para 30 mil dólares, para um método de contornar o controle de acesso em JavaScript (XSS) de 7.5 para 20 mil dólares, para organizar a execução remota de código na renderização nível do sistema de 7.5 a 10 mil 4 mil dólares, para identificação de vazamentos de informações - de 5 a 20-7500 mil dólares. Foram introduzidos pagamentos para métodos de falsificação na interface do usuário (US$ 5000), escalonamento de privilégios na plataforma web (US$ 5000) e proteção contra a exploração de vulnerabilidades (US$ 1000). Os pagamentos para preparar uma descrição básica e de alta qualidade de uma vulnerabilidade sem demonstrar uma exploração foram duplicados. O pagamento de bônus pela identificação de uma vulnerabilidade usando o Chrome Fuzzer foi aumentado para US$ XNUMX.

Fonte: opennet.ru

Adicionar um comentário