Google потратил почти три миллиона долларов на премии

В 2017 году компания заплатила 2,9 миллиона долларов исследователям, нашедшим уязвимости в продуктах Google. Самая большая индивидуальная премия составила 125 тысяч долларов.

Программа вознаграждения за найденные уязвимости действует в Google с 2010 года. В этот период интернет-гигант потратил на эти цели около 12 миллионов долларов.


Статистика по выплатам в 2017 году

В 2017 году выплаты за исследования уязвимостей составили 2,9 миллиона долларов, из которых 1,1 миллиона получили специалисты, работавшие с продуктами Google и Android, а остальную сумму выплатили за исследования Google Chrome.

Гранты на поиск уязвимостей в программном обеспечении с открытым кодом суммарно составили 50 тысяч долларов, а на реализацию Программы по исследованию уязвимостей было направлено 125 тысяч долларов.

Всего 274 исследователям было выдано 1230 индивидуальных премий, самая большая из которых составила 112,5 тысячи долларов. Она досталась Guang Gong, который выявил цепочку эксплойтов на телефонах Pixel, объединивших ошибку CVE-2017-5116, позволяющую удалённо выполнять коды в изолированном обработчике Chrome (так называемая sandbоx или “песочница”, ограничивающая пространство для выполнения кода) и ошибку CVE-2017-14904 с возможностью последующей sandbox-утечки через процесс libgralloc от Android. Это достижение тем более ценно, что Pixel не удалось взломать участникам Mobile pwn2own, и данные Guang Gong еще больше усилили его защиту.

Вторым по размеру вознаграждением стали 100 тысяч долларов, которые исследователь “gzobqq” получил за обнаружение ошибок в пяти компонентах, позволявших удаленно выполнять код в гостевом режиме Chrome OS.

Также в компании выделили результат работы Alex Birsan, который выявил возможность доступа к внутренним данным Google Issue Tracker (вознаграждение составило 15,6 тысячи долларов).

источник