Vrijwel elk groot technologiebedrijf betaalt onderzoekers voor het melden van bugs. Vandaag heeft Google bekend gemaakt dat het in het kader daarvan in 2017 in totaal 2,9 miljoen dollar heeft uitgekeerd. Dat is iets minder dan 2016, toen er 3 miljoen dollar werd betaald. Sinds de lancering van het programma in 2010 heeft Google bijna 12 miljoen dollar betaald aan onderzoekers.
Het afgelopen jaar kregen in totaal 274 onderzoekers geld betaald voor gevonden bugs. Daarnaast betaalde Google de grootste beloning die het tot nu toe ooit heeft uitbetaald. Het gaat om een bedrag van 112.500 dollar. Dat werd betaald aan een onderzoeker die een exploitchain meldde die misbruikt kon worden om de Pixel-apparaten te hacken.
Google, Android en Chrome
In 2017 ging het meeste geld naar bugs en kwetsbaarheden die in Google en Android gevonden werden. Elk waren goed voor een bedrag van 1,1 miljoen dollar; de rest van het geld ging naar Chrome. Google noemde in de blog nog twee andere grote bugs die gevonden werden.
Onderzoeker ‘qzobbq’ ontving de pwnium-award van 100.000 dollar voor het vinden van bugs in vijf verschillende componenten die het mogelijk maakten om binnen de gastmodus van Chrome OS code uit te voeren. En Alex Brisan ontdekte dat iedereen toegang kon hebben tot de interne Google Issue Tracker en kreeg daar 15.600 dollar voor.
Binnen het Vulnerability Research Grants Program heeft Google nog eens 125.000 dollar uitgekeerd aan een groep van meer dan vijftig veiligheidsonderzoekers wereldwijd. Daarnaast werd binnen het Patch Rewards Program nog eens 50.000 dollar uitgekeerd aan veiligheidsverbeteringen van de open-source software.
Nieuwe categorieën
Google breidt het beloningsprogramma overigens uit. Onderzoekers die Android-apps binnen de Google Play Store ontdekken die proberen van een afstand code uit te voeren, krijgen nu 5.000 dollar uitgekeerd. Eerder was dat bedrag nog 1.000 dollar.
Afgezien daarvan komt Google ook nog met een nieuwe categorie, waar meer kwetsbaarheden in vallen. Zo kunnen kwetsbaarheden die gericht zijn op het stelen van de privégegevens van gebruikers ook gemeld worden. Daarvoor keert Google 1.000 dollar per gevonden bug uit.
1 uur geleden
