Google paid $12 million in bug bounties to security researchers

Google は昨年、Vulnerability Reward Program を通じて、同社が評価した 605,000 ドルの重大なエクスプロイト チェーン レポートに対して、過去最高のバグ報奨金を支払いました。

Google は、セキュリティ研究者によって発見および報告された自社製品の 2,900 を超える脆弱性に対して、合計で 1,200 万ドル以上を費やしました。

Google は 2022 年に脆弱性報奨プログラムを通じて 1,200 万ドルの報奨金を支払いました
2022 年に Google のバグ報奨金の総額が 1,200 万ドルに跳ね上がる
ソース: グーグル

Android バグ報奨金

Google は 2022 年に脆弱性報奨金プログラム (VRP) の統計を公開し、セキュリティ リサーチ コミュニティが会社の製品の安全性を高めるためにどのように貢献したかの概要を示しています。

最大の支払いは、gzobqq によって提出された Android の 5 つのバグ (CVE-2022-20427、CVE-2022-20428、CVE-2022-20454、CVE-2022-20459、CVE-2022-20460) のエクスプロイト チェーンを詳述したレポートに対するものでした。 、これは605,000ドルで報われました。

2021 年、同じ研究者が Android で別の重大なエクスプロイト チェーンを発見して報告し、157,000 ドルを受け取りました。これは、当時の Android VRP 史上最高のバグ報奨金です。

通常、Google VRP を通じて提出された Android の脆弱性に対する報奨金は最大 10,000 ドルですが、エクスプロイト チェーンに対しては最大 100 万ドルが支払われます。

2022 年、Google は何百もの Android バグに対して 480 万ドルの報酬を支払いました。ほとんどの脆弱性を報告した上位の研究者は次のとおりです。

Google は昨年、招待制の Android チップセット セキュリティ報奨プログラム (ACSRP) を通じて、700 件のセキュリティ レポートに対して 486,000 ドルを授与しました。

Chrome と OSS の報酬

同社はまた、Chrome ブラウザの 363 件の脆弱性と ChromeOS の 110 件のセキュリティ問題に対して、2022 年に合計 400 万ドルを支払いました。

Google は、今年 Chrome VRP の実験を開始し、ブラウザと ChromeOS で報告されたセキュリティの問題に対してボーナスの機会を提供する可能性があると発表しました。

Google が 2022 年 8 月に開始したオープンソース製品の報奨プログラムでは、 100 人以上のバグ ハンターに 110,000 ドル以上を授与しました。

研究者に支払われる報奨金とは別に、Google は 170 人以上の研究者に 25 万ドル以上の助成金を授与しました。これらの資金は、脆弱性が見つからなくても、Google の製品やサービスを監視している個人向けです。

2022 年、Google は Vulnerability Rewards Programs を通じて提出されたレポートに対して 703 人の研究者に支払いを行い、NahamCon と BountyCon のセキュリティ関連カンファレンスのスポンサーを務めました。