Google ha pagato 12 milioni di dollari in bug bounty nel 2024

Google ha pagato quasi 12 milioni di dollari in ricompense bug bounty a 660 ricercatori di sicurezza che hanno segnalato bug di sicurezza tramite il Vulnerability Reward Program (VRP) dell'azienda nel 2024. Tra i punti salienti dell'anno scorso, l'azienda ha rinnovato la struttura delle ricompense del VRP, aumentandole fino a un massimo di 151.515 dollari. Inoltre, il suo Mobile VRP offre ora fino a 300.000 dollari per vulnerabilità critiche nelle app di livello superiore. La ricompensa massima che raggiunge 450.000 dollari per report di qualità eccezionale. Il Cloud VRP ha aumentato gli importi delle ricompense di livello superiore fino a cinque volte a luglio. Tra l’altro, le ricompense per i bug di sicurezza di Chrome ora superano i 250.000 dollari.

L'anno scorso, Google ha aumentato le ricompense per bypass di MiraclePtr da 100.115 dollari a 250.128 dollari quando è stato lanciato il MiraclePtr Bypass Reward. Ha anche lanciato kvmCTF, un nuovo VRP svelato nell'ottobre 2023, che mira a migliorare la sicurezza dell'hypervisor Kernel-based Virtual Machine (KVM). In questo caso, Big G offre ricompense da 250.000 dollari per exploit di escape VM completi. L'azienda afferma di aver assegnato 65 milioni di dollari in ricompense per bug da quando il suo primo programma di ricompense per vulnerabilità è stato lanciato nel 2010. La ricompensa più alta pagata l'anno scorso è stata di oltre 110.000 dollari.

Google: nel 2025 Il Vulnerability Reward Program festeggia 15 anni

Nel 2024, Google ha assegnato 3,4 milioni di dollari a 137 ricercatori Chrome VRP dopo aver analizzato 137 segnalazioni di bug di sicurezza validi di Chrome. La ricompensa per bug più alta del 2024 è stata di 100.115 dollari per la segnalazione di un bypass di MiraclePtr dopo che MiraclePtr era stato inizialmente abilitato sulla maggior parte delle piattaforme in Chrome M115 nel 2023. L'azienda ha inoltre pagato oltre 3,3 milioni di dollari ad alcuni ricercatori che hanno segnalato bug di sicurezza tramite l'Android and Google Devices Security Reward Program e il Google Mobile Vulnerability Reward Program.

Come ha affermato Big G nel suo blog: "Nel 2025 festeggeremo 15 anni di VRP in Google, durante i quali siamo rimasti pienamente impegnati a promuovere la collaborazione, l'innovazione e la trasparenza con la comunità della sicurezza e continueremo a farlo in futuro. Il nostro obiettivo rimane quello di anticipare le minacce emergenti e adattarci alle tecnologie in evoluzione. Continueremo inoltre a rafforzare la posizione di sicurezza dei prodotti e dei servizi di Google". Un anno prima, nel 2023, Google aveva assegnato 10 milioni di dollari a 632 ricercatori. Questi avevano trovato e segnalato falle di sicurezza nei suoi prodotti e servizi.