Tízmillió dollárt fizetett a Google a bugvadászoknak
Több mint 600 biztonsági szakember markát ütötte jutalom a tavalyi év során. A keresőóriás első alkalommal díjazta azokat, akik generatív MI-szolgáltatásokban, egészen pontosan a Google Bardban kutakodtak.
A 2023-as évben összesen 10 millió dollárt (kb. 3,6 milliárd forint) osztott szét a Google a különböző termékeiben és szolgáltatásaiban megbújó sérülékenységek és hibák felfedéséért, összesen 632 biztonsági kutató részesült kifizetésben - tudatta a cég blogposztjában.
Bár ez valamivel kevesebb, mint a 2022-es bugvadász program során kifizetett 12 millió dollár, de stabil érdeklődést mutat a Vulnerability Reward Program iránt. A sebezhetőség jelentésért járó legmagasabb összeg 2023-ban 113 337 dollár volt, míg a program 2010-es indulása óta elérte az összesen kifizetett 59 millió dollárt.
Az Android operációs rendszert érintő hibák felfedéséért eddig összesen 3,4 millió dollárnyi jutalmat osztott ki a cég, emellett 15 ezer dollárra emelte az Androidot érintő kritikus sebezhetőségekért járó maximális jutalmat, ami ösztönzően hathatott a közösségre.
A különböző biztonsági konferenciák, köztük a ESCAL8 és a hardwea.io keretén belül a cég 70 ezer dollárt költött a Wear OS és az Android Automotive OS 20 kritikus hibájának felfedezéséért, valamint további 116 000 dollárt költött a Nest, Fitbit és Wearables termékekben talált közel 50 hiba jelentésért.
A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.
A Google másik nagy projektjével, a Chrome böngészővel kapcsolatban 359 biztonsági hibajelentés érkezett, amelyek összesen 2,1 millió dollárt értek a felfedezőknek. A program emellett megemelte a V8, a Chrome JavaScript-motorjának régebbi (M105 előtti) verzióinak hibáiért járó jutalmakat is, ennek eredménye lett egy 30 000 dolláros díj is egy régóta létező V8 JIT optimalizálási hibáért.
Újdonság, hogy már a cég saját generatív MI-termékeivel kapcsolatban is lehetett jelezni a problémákat, a Google Bardban 35 kutató akadt valamilyen hibára, amiért 87 000 dollár ütötte a markukat.
Kik azok a bugvadászok és miért jó velük dolgozni? Mi motivál egy ilyen etikus hackert arra, hogy akár a teljes szabadidejét rászánja egy-egy sebezhetőség felkutatására? Nem csak a pénz, bár már itthon is volt rá példa, hogy valaki több tízmillió forintot kasszírozott egyetlen sérülékenység felfedezésével. A témát korábban Varjas Gáborral, a Hackrate szakértőjével jártuk körbe HWSW Weekly podcast adásunkban.