[ad_1]
Google a annoncé une multiplication par cinq des primes versées pour les bugs détectés dans ses systèmes et applications signalés via son programme de récompense des vulnérabilités, avec une nouvelle prime maximale de 151 515 $ pour une seule faille de sécurité.
« Au fil du temps, nos systèmes sont devenus plus sûrs et nous savons qu'il faut beaucoup plus de temps pour détecter les bugs. Dans cet esprit, nous sommes très heureux d'annoncer que nous mettons à jour nos montants de récompense jusqu'à 5 fois », a déclaré Google. dit.
La nouvelle récompense la plus élevée combine « 101 010 $ pour un RCE dans nos produits les plus sensibles, avec un modificateur de 1,5x appliqué pour une qualité de rapport exceptionnelle = 151 515 $ ».
Seuls les rapports de vulnérabilité soumis à partir d'aujourd'hui, le 11 juillet, à 00h00 UTC, pourront être payés à l'aide du nouveau tableau de récompenses.
En plus d'offrir des paiements plus élevés, la société a récemment élargi ses options de paiement, y compris la possibilité de recevoir des paiements via Bugcrowd.
La mise à jour Montants des récompenses La section des règles Google VRP fournit plus d'informations sur les modifications apportées par Google aux montants des récompenses et à la nouvelle structure de paiement.
| Exemple de vulnérabilité | Nouvelle récompense | Ancienne récompense |
|---|---|---|
| Défaut de logique conduisant à la prise de contrôle du compte @gmail.com | (50 000 $ * 1,5) = 75 000 $ | 13 337 $ |
| XSS sur idx.google.com | (10 000 $ * 1,5) = 15 000 $ | 3 133,7 $ |
| Défaut de logique révélant des informations personnelles identifiables sur home.nest.com | (2 500 $ * 1,5) = 3 750 $ | 500 $ |
Développements récents de Google VRP
La semaine dernière, Google a lancé kvmCTF, un nouveau VRP annoncé en octobre 2023 pour améliorer la sécurité de l'hyperviseur de machine virtuelle basée sur le noyau (KVM). kvmCTF se concentre sur les bogues accessibles par VM dans l'hyperviseur KVM et offre une prime de 250 000 $ pour les exploits d'évasion de VM complets.
Il y a un an, la société a également triplé les récompenses pour les exploits de la chaîne d'échappement du sandbox Chrome jusqu'au 1er décembre 2023.
Depuis son programme de récompense de vulnérabilité (VRP) a été lancé en 2010Google a versé plus de 50 millions de dollars de primes aux chercheurs en sécurité qui ont signalé plus de 15 000 vulnérabilités.
L'année dernière seulement, Google payé 10 millions de dollarsla récompense la plus élevée ayant été versée à un chasseur de primes qui a récolté 113 337 $.
La prime VRP la plus élevée jamais versée s'élevait à 605 000 $, versée à gzobqq en 2022 pour une série de cinq bugs de sécurité dans une chaîne d'exploitation Android. Le même chercheur en sécurité a signalé une autre chaîne d'exploitation Android critique en 2021, qui lui a valu un paiement de 157 000 $.
[ad_2]
