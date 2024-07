Google ha annunciato un aumento interessante nei pagamenti per i bug rilevati nei suoi sistemi e nelle applicazioni, segnalati attraverso il suo Vulnerability Reward Program. La nuova ricompensa bug bounty massima ammonta infatti a 151.515 dollari per un singolo difetto di sicurezza trovato. Come affermato da Big G: "poiché i nostri sistemi sono diventati più sicuri nel tempo, sappiamo che ci vuole molto più tempo per trovare i bug - con questo in mente, siamo molto entusiasti di annunciare che stiamo aggiornando i nostri importi di ricompensa fino a 5 volte". La nuova ricompensa più alta combina "$ 101.010 per un RCE nei nostri prodotti più sensibili, con un modificatore 1,5x applicato per un'eccezionale qualità dei report = $ 151.515)". L’azienda di Mountain View ricorda che questa nuova tabella dei premi sarà valida solo per le segnalazioni di vulnerabilità inviate a partire dall’11 luglio 2024.

Oltre ad offrire pagamenti più elevati, la società ha recentemente ampliato le opzioni di pagamento, inclusa la possibilità di ricevere pagamenti tramite Bugcrowd. La sezione aggiornata degli importi dei premi del Vulnerability Reward Program di Google fornisce tutte le informazioni sulle modifiche agli importi dei premi e alla nuova struttura di pagamento.

Google: i recenti aggiornamenti del Vulnerability Reward Program

La settimana scorsa, Google ha lanciato kvmCTF, un nuovo VRP annunciato nell'ottobre 2023 per migliorare la sicurezza dell'hypervisor KVM (Kernel-based Virtual Machine). kvmCTF si concentra sui bug raggiungibili dalle VM nell'hypervisor KVM. Inoltre, offre una ricompensa di 250.000 dollari per exploit completi di fuga dalle VM. Un anno fa, l'azienda ha anche triplicato le ricompense per gli exploit della catena di fuga sandbox di Chrome fino al 1 dicembre 2023.

Dal 2010 a oggi, Google ha pagato più di 50 milioni di dollari in premi ai ricercatori che hanno segnalato più di 15.000 vulnerabilità. Solo l’anno scorso, Google ha pagato 10 milioni di dollari. La ricompensa più alta è stata pagata ad uno sviluppatore di sicurezza, che ha raccolto 113.337 dollari. La ricompensa VRP più alta di sempre è stata di 605.000 dollari, pagata a gzobqq nel 2022 per una serie di cinque bug di sicurezza in una catena di exploit Android. Lo stesso ricercatore di sicurezza ha segnalato un’altra catena di exploit Android critica nel 2021, guadagnando un compenso di 157.000 dollari.