В прошлом году Google выплатил самое большое вознаграждение за обнаружение ошибок
24 февраля 2023 г.Кто-то заработал много денег на обнаружении уязвимостей в продуктах Google в 2022 году, сообщила компания.
Гигант поисковых систем недавно обнародовал результаты своей Vulnerability Reward Program-2022-year.html">Vulnerability Reward Program — кампания по вознаграждению за обнаружение ошибок, в рамках которой вознаграждаются этичные хакеры, обнаружившие серьезные недостатки в продуктах компании и ответственно раскрывающие их, а не давая хакерам возможность злоупотреблять ими с помощью вредоносного ПО.
В общей сложности в течение 2022 года компания выплатила более 12 млн долларов США примерно за 2 900 уязвимостей.
Неисправности в Android, Chrome и ChromeOS
В отчете Google выделяется один уникальный отчет: хакер обнаружил цепочку эксплойтов, включающую пять отдельных уязвимостей в Android: CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-. 20459, CVE-2022-20460. Google решил, что цепочка эксплойтов заслуживает вознаграждения в размере 605 000 долларов.
Человек, обнаруживший цепочку эксплойтов, известен под псевдонимом gzobqq, сообщает BleepingComputer, добавляя, что в 2021 году этот же человек заработал 157 000 долларов за критическую цепочку эксплойтов в Android. Обе эти цепочки эксплойтов были самой высокой наградой за обнаружение ошибок в Android в свое время.
Если говорить конкретно об Android, в прошлом году Google выплатила вознаграждения в размере 4,8 млн долларов. Трое самых активных хакеров сообщили о 200, 150 и 100 ошибках соответственно.
Кроме того, компания выплатила почти 500 000 долларов за 700 отчетов, сделанных в рамках программы вознаграждения за безопасность набора микросхем Android. ACSRP — это частная программа поиска ошибок, предназначенная только для производителей чипсетов Android.
За 363 ошибки, обнаруженные в Chrome, и за 110 ошибок в ChromeOS Google выплатила 4 миллиона долларов США.
Большинство крупных технологических компаний реализуют программы вознаграждений за обнаружение ошибок, поскольку они являются отличным способом побудить более широкое сообщество специалистов по кибербезопасности принять участие в укреплении самого популярного в мире программного обеспечения.
В августе 2022 года Microsoft сообщила о выплате вознаграждения в размере 13,7 млн долларов США 330 исследователям в области безопасности в 46 странах. Компания добавила, что самая крупная награда в рамках программы Hyper-V Bounty составила 200 000 долларов, а средняя сумма вознаграждения составила примерно 12 000 долларов.
Apple, с другой стороны, заявила, что выплатила 20 миллионов долларов за свою ошибку. программа вознаграждений в 2022 году со средним вознаграждением в категории продуктов в размере 40 000 долларов США.
- Вот лучшие брандмауэры на сегодняшний день
Через: BleepingComputer
Оригинал