Какие уязвимости есть в сервисах Google и сколько в 2023 году компания заплатила обнаружившим их специалистам?

В 2023 году Google выплатила $10 миллионов по своей глобальной программе багбаунти исследователям и белым хакерам за обнаружение уязвимостей в своих сервисах и проектах Chrome, Android, Google Play, продуктах Google и открытом программном обеспечении компании. Это на $2 миллиона меньше, чем в 2022 году.

Эксперты считают, что, несмотря на то что эта сумма меньше, чем вознаграждения за уязвимости от Google в 2022 году, она все еще значительная, а политика компании демонстрирует высокий уровень заинтересованности в участии сообщества по информационной безопасности в усилиях Google по обеспечению безопасности. Для сравнения, в 2023 году "Яндекс" выплатил исследователям $770 тысяч в рамках своей программы багбаунти "Охота за ошибками".

Самая высокая награда за доклад об уязвимостях в сервисах Google в 2023 году составила $113 337. Выплаты получили 632 белых хакера из 68 стран мира.

Общая сумма выплат от Google с момента запуска программы багбаунти в 2010 году достигла $59 миллионов для вознаграждения исследователей безопасности из 84 различных стран за сообщения о более чем 15 тысячах уязвимостей.

За обнаруженные уязвимости в Android Google в 2023 году выплатила более $3,4 миллионов. Другой крупный программный проект Google, браузер Chrome, также был объектом исследования. В отношении него белые хакеры отправили 359 докладов об ошибках безопасности, за которые Google выплатила в 2023 году в общей сложности $2,1 миллиона. Другие крупные выплаты компании касались докладов об уязвимостях в облачных продуктах искусственного интеллекта, таких как Google Cloud и чат-бот Google Gemini (Bard).

Также Google в 2023 году продолжила программу Mobile VRP для обнаружения уязвимостей в сторонних приложениях Android. Компания открыла доступ к онлайн-платформе Bughunters blog, где белые хакеры могут обмениваться идеями и мерами по безопасности в интернете. Помимо программ багбаунти, Google провела в 2023 году несколько конференций по информационной безопасности, в рамках которых проходили онлайн и офлайн различные технические хакерские мероприятия, встречи, семинары и хакатоны.

Дополнительно в прошлом году Google выделила более $200 тысяч в виде грантов исследователям безопасности, а также принимала отчеты по программе Android Chipset Security Reward Program (ACSRP), доступной только по приглашениям. Это частная программа вознаграждений Google, работающая в партнерстве с разработчиками чипсетов для Android.