Google выплатила рекордные $12 млн вознаграждений за поиск уязвимостей в 2022 году

Google обнародовала результаты работы своей программы Vulnerability Reward, в рамках которой этичным хакерам выплачиваются вознаграждения за найденные в продукции компании ошибки и уязвимости. За 2022 год компания выплатила более $12 млн за более чем 2900 найденных уязвимостей.

Источник изображения: security.googleblog.com

Размер самого большого вознаграждения составил $605 тыс. — в этом исключительном случае хакер обнаружил цепочку эксплойтов, использующих пять отдельных уязвимостей в Android. Этим специалистом оказался человек, известный под ником gzobqq, и он же в 2021 году выявил в Android ещё одну цепочку эксплойтов, которая принесла ему $157 тыс. Оба эти вознаграждения в своё время оказались рекордными за обнаружение ошибок в Android.

Всего по сегменту Android компания выплатила вознаграждений на общую сумму $4,8 млн. Самые активные эксперты сообщили о 200, 150 и 100 уязвимостях соответственно. Google также выплатила около $500 тыс. за 700 уязвимостей, обнаруженных в рамках закрытой программы ACSRP, направленной на повышение безопасности чипсетов под Android. В браузере Chrome были выявлены 363 уязвимости, в платформе Chrome OS — ещё 110, и за них Google заплатила хакерам $4 млн.

Для сравнения, в августе прошлого года Microsoft сообщила, что выплатила $13,7 млн 330 экспертам в 46 странах мира — самая крупная сумма была $200 тыс., а средняя составила $12 тыс. Apple в 2022 году выплатила по аналогичной программе $20 млн при среднем значении вознаграждения в $40 тыс.