Google

グーグルは、同社の脆弱性報奨プログラムを通じて報告されたシステムやアプリケーションに発見されたバグに対する報奨金を5倍に増額し、1件のセキュリティ欠陥に対する最高報奨金を15万1515ドルに引き上げると発表した。

「Googleは、「Googleのシステムの安全性が高まるにつれ、バグを発見するのに時間がかかるようになってきました。

新しい最高報酬額は、「当社の最も機密性の高い製品におけるRCEの場合、101,010ドル、例外的なレポート品質には1.5倍の修正が適用される=151,515ドル)」である。

本日7月11日0:00 UTCから提出された脆弱性レポートのみが、新しい報酬テーブルを使用して支払われる対象となる。

より高い報酬を提供することに加え、同社は最近、Bugcrowdを通じて支払いを受ける可能性を含め、支払いオプションを拡大した。

Google VRPルールの「報酬額」セクションが更新され、Googleによる報酬額の変更と新しいペイアウト構造に関する詳細情報が提供されています。

脆弱性の例 新しい報酬 旧報酬
アカウント @gmail.com の乗っ取りにつながるロジックの欠陥 ($50,000 * 1.5) =$75,000 $13,337
idx.google.comのXSS ($10,000 * 1.5) =$15,000 $3,133.7
home.nest.comにおけるPIIを開示するロジックの欠陥 ($2,500 * 1.5) =$3,750 $500

最近のグーグルVRPの動向

先週、グーグルは、カーネルベースの仮想マシン(KVM)ハイパーバイザのセキュリティを向上させるために、2023年10月に発表された新しいVRPであるkvmCTFを開始した。kvmCTFは、KVMハイパーバイザのVMに到達可能なバグに焦点を当て、完全なVMエスケープエクスプロイトに対して25万ドルの報奨金を提供する。

また1年前には、Chromeサンドボックスのエスケープチェーンエクスプロイトに対する報奨金を2023年12月1日まで3倍にしている。

2010年に脆弱性報奨プログラム(VRP)が開始されて以来、グーグルは15,000件以上の脆弱性を報告したセキュリティ研究者に5,000万ドル以上の報奨金を支払ってきた。

昨年だけでも、グーグルは1000万ドルを支払い、最高額の報奨金は、113,337ドルを集めた賞金稼ぎに対して支払われた。

過去最高のVRP報奨金は、2022年にAndroidのエクスプロイトチェーンにおける一連の5つのセキュリティバグに対してgzobqqに支払われた60万5000ドルだった。同じセキュリティ研究者は、2021年に別の重要なAndroidエクスプロイトチェーンを報告し、15万7000ドルの支払いを得ている。