Nieuws

Google keerde in 2022 hoogste bugbounty ooit uit

Google
Google keerde in 2022 in totaal 11,33 miljoen euro aan bugbounty's uit. Een recordbedrag voor het Vulnerability Reward Program (VPR). Ook keerde Google in 2022 de hoogte bugbounty ooit uit.

Nooit eerder keerde Google zoveel geld uit via het Vulnerability Reward Program. In 2021 ging het nog om 8,2 miljoen euro en in 2018 keerde Google slechts 3,2 miljoen dollar uit. In zeven jaar tijd ging het bedrag zelfs zesmaal over de kop; toen het programma in 2015 werd opgestart keerde Google nog zo’n 1,8 miljoen dollar uit. Dat die uitgaven flink toenamen heeft alles te maken met de toegenomen ‘acceptatie’ voor de bedrijven die zulke beveiligingslekken opsporen.

Bugbounty-uitkeringen in 2022

Het gros van de uitgekeerde bugbounty’s komen toe aan onderzoekers die beveiligingsproblemen in Android en Google Chrome opspoorden; met 4,5 miljoen euro aan uitgekeerde bounty’s voor Android en 3,8 miljoen euro voor bugs die werden opgespoord in de Chrome-browser en Chrome OS. Het Chrome-ecosysteem was volgens Google goed voor 470 van de 2.900 bugs die via het VRP werden opgespoord en gerepareerd. 110 van de problemen waren gelinkt aan het Chrome OS-besturingssysteem.

Google noemt in zijn blogpost geen exacte aantallen voor Android. Wel meldt het dat het nieuwe invite-only Android Chipset Security Reward Program (ACSRP), waarmee het bugs opspoort in samenwerking met chipfabrikanten, goed was voor 700 opgespoorde bugs. Onderzoekers verdienden met de 700 opgespoorde bugs zo’n 458.000 euro. Details over de opgespoorde bugs en voor welke chipfabrikanten de meeste bugs werden opgespoord, laat Google in het midden.

Bugbounty Google 2022

Datzelfde geldt voor uitleg over Googles hoogste bugbounty ooit. Volgens de zoekgigant bedroeg de bounty zo’n 571.000 euro en werd daarmee een bug in Android opgespoord. Onbekend is of de bug actief werd misbruikt en of Google intussen een beveiligingsupdate heeft uitgerold om het probleem weg te werken. Overigens bereikte de onderzoeker met dit bedrag nog niet de limiet van het VRP. Dat staat op 1,5 miljoen dollar en geldt voor zeroclick- of remote-overname-bugs in de Titan M-beveiligingschip.

Bugbounty-programma voor Chrome

Google meldt tot slot dat de 2900 uitgekeerde bugbounty’s toekwamen aan 703 onderzoekers uit 68 landen. De zoekgigant spreekt zijn dank uit voor beveiligingsonderzoekers die bugs onder de aandacht hebben gebracht, en stelt een nieuw Chrome VRP-programma in het vooruitzicht. Wanneer onderzoekers met dit programma aan de slag kunnen en hoe dit exact wordt uitgewerkt, wordt niet beschreven in de aankondiging.

Gerelateerde artikelen

Volg ons

TechPoll

Zou jij plaatsnemen in een zelfrijdende Waymo-taxi?

Laden ... Laden ...
De beste elektronica-acties van februari

De beste elektronica-acties van februari

Bekijken bij bol.com

Business