Google otorgó un total de US$10 millones a 632 investigadores de 68 países el año pasado. Google otorgó estos premios porque los investigadores lograron descubrir y reportar vulnerabilidades de seguridad en los productos y servicios de la empresa.
Esta cantidad es en realidad menor que el Programa de Recompensas por Vulnerabilidades de Google en 2022, que ascendió a US$12 millones. Sin embargo, sigue siendo significativa, lo que indica un nivel bastante alto de participación comunitaria en los esfuerzos de seguridad de Google.
Desde su lanzamiento en 2010, Google ha pagado un total de US$59 millones en recompensas.
Para Android, el sistema operativo móvil más popular y ampliamente utilizado en el mundo, este programa ha otorgado más de US$3,4 millones.
Según Bleeping Computer, Google también aumentó el monto máximo de recompensa para vulnerabilidades críticas relacionadas con Android a US$15,000, lo que impulsó un aumento en los informes de la comunidad.
Durante conferencias de seguridad como ESCAL8 y hardwea.io, Google otorgó US$70,000 por 20 descubrimientos significativos en Wear OS y Android Automotive OS, y otros US$116,000 por 50 informes sobre problemas en Nest, Fitbit y Wearables.
Otro importante proyecto de software de Google, el navegador Chrome, fue objeto de 359 informes de errores de seguridad, pagando un total de $2,1 millones.
El 1 de junio de 2023, la empresa anunció que duplicaría los pagos de recompensas por exploits de cadenas de escape de sandbox dirigidos a Chrome hasta el 1 de diciembre de 2023.
El programa también aumentó las recompensas por errores en versiones anteriores de V8 (antes de M105), el motor JavaScript de Chrome, lo que llevó a descubrimientos y recompensas significativas como un premio de $30,000 por un error de optimización V8 JIT de larga data (desde M91).
Google también recompensó a los investigadores que descubrieron vulnerabilidades de seguridad en productos de IA generativa como Google Bard. Hubo al menos 35 informes de investigadores en el evento de hacking en vivo bugSWAT que resultaron en pagos por un total de US$87,000.
Además de las recompensas en sí, el programa de recompensas por errores experimentó varios desarrollos y mejoras importantes durante 2023, incluida la introducción del programa de Premios Adicionales, que ofrece recompensas adicionales para objetivos específicos.
Además, la expansión del programa de recompensas por explotación para incluir Chrome y Cloud, marcada por el lanzamiento de v8CTF, que se centra en el motor JavaScript V8 de Chrome.
Y la inauguración de Mobile VRP para aplicaciones Android de primera mano, el lanzamiento del blog Bughunters para compartir ideas y medidas de seguridad para internet, hasta la organización de la conferencia de seguridad ESCAL8 en Tokio, que presenta eventos de hacking en vivo, talleres y discusiones.
