Бесплатно Экспресс-аудит сайта:

13.02.2022

Google выплатил $8,7 млн в рамках программы вознаграждений за поиск уязвимостей в 2021

Эта цифра выше, чем 6,7 миллионов долларов, которые Google выделил исследователям безопасности в 2020 году.

Из них 3 миллиона долларов пошли на устранение уязвимостей Android, 3,3 миллиона долларов в Chrome, 0,5 миллиона долларов в Google Play Store и 0,313 миллиона долларов — на ошибки в Google Cloud.

Всего в прошлом году 696 человек получили вознаграждения от Google, а самая высокая награда составила 157 000 долларов за цепочку эксплойтов для Android, сообщила компания вчера в своем блоге.

До сих пор никто не смог получить вознаграждение в размере 1,5 миллиона долларов, которое Google пообещал заплатить за уязвимости в чипе безопасности Titan M в 2019 году.

Кроме того, Google также опубликовал статистику Project Zero, собственной командой охотников за ошибками. Согласно Google, время исправление уязвимостей сократилось до 52 дней, по сравнению с 80 днями 3 года назад

В 2021 году компания Microsoft выплатила исследователям безопасности 13,6 миллиона долларов за обнаружение 1261 уязвимости. Однако целый ряд исследователей безопасности обвинили Microsoft в уменьшении сумм вознаграждения, которые компания выплачивает за сообщения об уязвимостях в рамках своей программы bug bounty. Судя по всему, в некоторых случаях техногигант уменьшил вознаграждение в десять раз или на 90%. Один из исследователей 2 года не сообщал о критической уязвимости в Windows , из-за того что компания тянула с выплатами в рамках программы bug bounty. Все это время уязвимость эксплуатировалась в атаках высококвалифицированными хакерскими группировками.

Ранее HackerOne сообщила, что в 2021 году рынок независимых исследований уязвимостей стремительно вырос, а сумма выплаченных вознаграждений в рамках программ bug bounty утроилась , достигнув почти $37 млн.