Выплаты Google по программе поиска ошибок превысили 11,8 миллиона долларов в 2024 году

В 2024 году Google выплатила 660 исследователям безопасности сумму в размере 11,8 миллиона долларов в рамках программы поощрения выявления уязвимостей (VRP). Это означает, что теоретически каждый исследователь получил около 18 000 долларов. Максимальная сумма выплаты в 2024 году составила 110 000 долларов. С момента запуска программы в 2010 году общая сумма выплат достигла 65 миллионов долларов. Исследователи Chrome и Android, а также другие исследователи, обнаружившие уязвимости в устройствах Google, получили около половины всех выплат в 2024 году. Это свидетельствует о приверженности компании к безопасности своих наиболее популярных устройств.

В прошлом году Google выплатила 12 миллионов долларов в рамках программы поощрения выявления уязвимостей. Некоторые изменения в структуре программы в прошлом году привели к увеличению потенциальных выплат. Теперь Google VRP предлагает выплаты до 151 515 долларов, Mobile VRP – до 300 000 долларов, Cloud VRP – до 151 515 долларов и Chrome awards – до 250 000 долларов.

Дирк Гёмманн (Dirk Göhmann) из Google в своем блоге отметил, что исследователи, внесшие вклад в Программу поощрения за безопасность Android и устройств Google, а также в Программу поощрения за уязвимости мобильных устройств Google, получили более 3,3 миллиона долларов вознаграждения в 2024 году. Он также добавил, что количество поданных отчетов уменьшилось на 8%. Однако компания зафиксировала незначительное увеличение на 2% числа критических и высокостепенных уязвимостей.

Всего было подано 337 уникальных отчетов в Chrome VRP – 137 из них получили вознаграждение общей суммой 3,4 миллиона долларов.

Google также отметил запуск новой категории – 2024 год стал первым полным годом поощрения за выявление уязвимостей в области искусственного интеллекта (AI). Однако суммы выплат остались относительно низкими и составили 55 000 долларов. Среди других успехов можно отметить два мероприятия bugSWAT и четыре семинара init.g, направленные на поддержку нового поколения исследователей безопасности.

Гёмманн отметил, что в 2025 году компания будет отмечать 15-летие VRP. Пока неясно, будут ли внесены какие-либо изменения в VRP в честь этой знаменательной даты.

Гёмманн добавил: “Мы хотим выразить огромную благодарность нашему сообществу охотников за ошибками за помощь в том, чтобы сделать продукты и платформы Google более безопасными для наших пользователей по всему миру – и приглашаем исследователей, которые еще не участвуют в Программе поощрения за уязвимости, присоединиться к нам в нашей миссии по обеспечению безопасности Google!”.