За десять лет с момента запуска своей первоначальной программы вознаграждений за ошибки, ориентированной на Chrome, Google выплатила исследователям в области безопасности более 21 миллиона долларов, а в 2019 году было получено рекордное вознаграждение в размере 6,5 миллиона долларов.
Программа вознаграждения за уязвимости Chrome была введена в январе 2010 года, за ней последовала программа вознаграждений за безопасность Google в ноябре 2010 года. На протяжении многих лет мы сообщали об увеличении предлагаемых сумм и расширении на новые области, Android в 2015 году и приложения из магазина Google Play в 2017 году. , расширенный в 2019 году на сторонние приложения в Google Play.
В сообщении блога Google Security, в котором объявляется рекордный год, говорится:
Мы выплатили более 6,5 миллионов долларов вознаграждения, что вдвое больше, чем мы когда-либо платили за один год. В то же время наши исследователи решили пожертвовать на благотворительность рекордную сумму в 500 000 долларов в этом году. Это в 5 раз больше суммы, которую мы когда-либо жертвовали за один год.
Общая сумма в 6,5 миллиона долларов на 2019 год, что почти вдвое больше, чем выплачено в 2018 году, складывается следующим образом:
Более подробная информация о годовой выплате представлена на этом графике:
Мы сообщили о самой крупной единственной награде, полученной на сегодняшний день во всех VRP Google, еще в ноябре 2014 года. Она была присуждена Гуан Гун из Alpha Lab, Qihoo 360 Technology Co. Ltd. за первую известную цепочку эксплойтов для удаленного выполнения кода в один клик на сайте. устройство Pixel 3. Это принесло 161 337 долларов от Android VPR, а еще 40 000 долларов было получено от Chrome VPR, что в общей сложности составило 201 337 фунтов стерлингов. В то же время Google объявил о рекордном вознаграждении в 1,5 миллиона долларов. Он состоит из 1 миллиона долларов за эксплойт с полной цепочкой удаленного выполнения кода, компрометирующий безопасный элемент Titan M на устройствах Pixel, который может быть увеличен до 1,5 миллиона долларов для определенных предварительных версий Android для разработчиков. Он еще не был присужден, но фактически выплаченные 0,2 миллиона долларов кажутся небольшими по сравнению с этим.
Еще в 2014 году, когда в Chrome VPR было объявлено об увеличении на том основании, что по мере того, как Chrome стал более безопасным, в нем стало труднее находить ошибки, было также раскрыто, что программа выплатила 1,25 миллиона долларов с момента ее создания в 2010 году. В недавнем сообщении в блоге показано, как ежегодно выплачиваемая сумма, охватывающая все VPR Google, выросла из года в год, причем самый резкий рост был в 2018-2019 годах.
Если исследователи безопасности преуспеют в сложных эксплойтах, за которые Google предлагает высшие награды, мы можем ожидать дальнейшего резкого роста, особенно в связи с тем, что в 2020 году отмечается 10-летие VPR Chrome и Google, и празднования уже не за горами.