Nuestros programas de recompensa de vulnerabilidad se crearon para recompensar a los investigadores por proteger a los usuarios al informarnos sobre los errores de seguridad que encuentran. Sus descubrimientos ayudan a mantener seguros a nuestros usuarios y a World-wide-web en standard. Esperamos aún más colaboración en 2020 y más allá.
¡2019 ha sido otro año récord para nosotros, gracias a nuestros investigadores! Pagamos más de $ 6.5 millones en recompensas, duplicando lo que hemos pagado en un solo año. Al mismo tiempo, nuestros investigadores decidieron donar un máximo histórico de $ 500,000 a organizaciones benéficas este año. Eso es 5 veces la cantidad que hemos donado anteriormente en un solo año. ¡Muchas gracias por su arduo trabajo y generosas donaciones!
Desde 2010, hemos ampliado nuestros VRP para cubrir áreas adicionales de productos de Google, incluidos Chrome, Android y, más recientemente, Abuse. También nos hemos expandido para cubrir aplicaciones populares de terceros en Google Enjoy, ayudando a identificar y revelar vulnerabilidades a los desarrolladores de aplicaciones afectados. Desde entonces, hemos pagado más de $ 21 millones en recompensas *. Como lo hemos hecho en años anteriores, estamos compartiendo nuestra Revisión del Año 2019 a través de estos programas.
¿Qué ha cambiado el año pasado?
- El VRP de Chrome aumentó sus pagos de recompensa al triplicar el monto máximo de recompensa de referencia de $ 5,000 a $ 15,000 y duplicar el monto máximo de recompensa para informes de alta calidad de $ 15,000 a $ 30,000. El bono adicional otorgado a los errores encontrados por los fuzzers que se ejecutan bajo el Programa Chrome Fuzzer también se duplica a $ 1,000. Más detalles se pueden encontrar en su página de reglas del programa.
- Android Protection Benefits amplió su programa con nuevas categorías de exploits y mayores recompensas. El premio mayor es ahora de $ 1 millón para una explotación de ejecución de código remoto de cadena completa con persistencia que compromete el elemento seguro Titan M en dispositivos Pixel. Y si logra ese exploit en versiones específicas de Android de vista previa para desarrolladores, estamos agregando un bono del 50%, haciendo que el premio mayor sea de $ 1.5 millones. Mira nuestro página de reglas del programa para más detalles sobre nuestras nuevas categorías de exploits y recompensas.
- Abuse VRP participó en actividades de divulgación y educación para aumentar la conciencia de los investigadores sobre el programa, presentando una visión common de nuestro programa Abuse en Australia, Malasia, Vietnam, el Reino Unido y los Estados Unidos.
- los Programa de recompensas de seguridad de Google Perform Alcance ampliado a cualquier aplicación con más de 100 millones de instalaciones, lo que resulta en más de $ 650,000 en recompensas en la segunda mitad de 2019.
- los Programa de recompensa de protección de datos de desarrollador se lanzó en 2019 para identificar y mitigar problemas de abuso de datos en aplicaciones de Android, proyectos OAuth y extensiones de Chrome.
También tuvimos el objetivo de aumentar el compromiso con nuestros investigadores de seguridad durante el último año en eventos como BountyCon en Singapur y ESCAL8 en Londres. Estos eventos no solo nos permiten conocer a cada uno de nuestros cazadores de insectos, sino que también brindan un espacio para que los cazadores de insectos se reúnan y, con suerte, trabajen juntos en futuras hazañas.
Un gran agradecimiento a todos los que contribuyeron a los VRP en 2019. Esperamos aumentar aún más la participación en 2020, ya que tanto los VRP de Google como los de Chrome cumplirán 10 años. Estén atentos para las celebraciones. Siga con nosotros @GoogleVRP
* El monto whole se actualizó el 28 de enero anteriormente decía que pagamos más de $ 15 millones en recompensas.
