Google beloonde onafhankelijke securityonderzoekers in 2021 met 8,7 miljoen dollar (7,7 miljoen euro) via het Vulnerability Reward Program. De winnaars doneerden ruim 260.000 euro aan goede doelen.

Sarah Jacobus, teamlid van het Vulnerability Rewards Program, deelt het nieuws in een blog. Het programma beloonde vinders van Android-kwetsbaarheden met 3 miljoen dollar. Het aantal gevonden Android bugs verdubbelde in vergelijking met 2020. Daarnaast werd een enkele Android-kwetsbaarheid beloond met het grootste bedrag in de geschiedenis van het programma: 157.000 dollar.

Ook initieert Google sinds vorig jaar het Android Chipset Security Reward Program, waarbij onderzoekers op uitnodiging de security van Android chipsets van verschillende fabrikanten analyseren. Daarnaast meldt de organisatie dat er nog 1,5 miljoen dollar beschikbaar is voor vinders van bugs in de Titan-M securitychip in Pixel smartphones.

Meer bugs dan ooit tevoren

Google betaalde bijna 300.000 dollar uit voor 220 unieke securityrapporten. Onder de deelnemers vind je Aman Pandey van Bugsmirror, Yu-Chen Lin en een anonieme onderzoeker die het eerdergenoemde recordbedrag van 157.000 dollar ontving.

Ruim 3,3 miljoen dollar werd betaald aan 115 vinders van 333 kwetsbaarheden in Google Chrome. Onderzoek naar Chrome OS ontving iets meer dan 250.000 dollar.

Fuzzers worden beloond

‘Fuzzing’ is een onderzoekstechniek waarbij onverwachtse data grootschalig en automatisch aan applicaties wordt gevoerd. Fuzzers — onderzoekers die de techniek gebruiken — werden beloond door het Chrome Fuzzing Program. Dit programma betaalde in het afgelopen jaar 58.000 dollar uit. Elke fuzzer-melding die uiteindelijk tot een patch leidde ontving een bonus van 1.000 dollar.