O Google está pagando caro para quem encontrar falhas de segurança, especialmente relacionadas ao Dia Zero, tanto no kernel Linux quanto em Kubernetes, Google Kubernetes Engine (GKE) ou kCTF. Caso usem técnicas exclusivas, há um bônus maior para bugs e explorações de dia zero.
Aumentamos nossas recompensas porque reconhecemos que, para atrair a atenção da comunidade, precisávamos corresponder nossas recompensas às expectativas deles, explicou o Google Vulnerability Matchmaker Eduardo Vela.
Consideramos a expansão um sucesso e, por isso, gostaríamos de estendê-la ainda mais, pelo menos até o final do ano (2022).
Google dobra pagamento de recompensas para quem achar falhas no kernel Linux
Embora tenha anunciado inicialmente em novembro que os relatórios de vulnerabilidades críticas receberão recompensas de até US$ 50.337, dependendo de sua gravidade, o Google agora aumentou a recompensa máxima para US$ 91.337.
Obter a quantia máxima de dinheiro para um exploit depende de várias condições. Isso inclui se eles são zero-days (bugs novos sem um patch de segurança), se eles não exigem namespaces sem privilégios e se eles usam novas técnicas de exploit.
Cada um deles vem com um bônus de $ 20.000 que pode elevar o valor de um primeiro envio de exploração válido até $ 91.337.
Essas mudanças aumentam alguns exploits de 1 dia para 71.337 USD (acima de 31.337 USD) e fazem com que a recompensa máxima para um único exploit seja 91.337 USD (acima de 50.337 USD), explicou Vela.
Também pagaremos pelo menos 20.000 USD, mesmo por duplicatas, se elas demonstrarem novas técnicas de exploração (acima de 0 USD).
Notícias Relacionadas
No entanto, também limitaremos o número de recompensas por 1 dia a apenas uma por versão/compilação.
O mais interessante é que o Google não paga por explorações duplicadas da mesma falha de segurança. Assim, a empresa diz que os bônus para novas técnicas de exploração ainda serão aplicados. Portanto, isso significa que os pesquisadores ainda podem receber US$ 20.000 por duplicatas.
Foram cerca de $ 175.000 pagos nos últimos três meses
Desde novembro, o Google pagou mais de US$ 175.000 por nove envios diferentes, incluindo cinco dias zero e dois dias 1.
O Google diz que já corrigiu três dessas nove vulnerabilidades: CVE-2021-4154, CVE-2021-22600 (patch) e CVE-2022-0185 (writeup).
“Esses três bugs foram encontrados pela primeira vez pelo Syzkaller, e dois deles já haviam sido corrigidos nas versões principal e estável do Linux Kernel no momento em que nos foram relatados”, acrescentou Vela.
Por outro lado, o Google fez uma revelação em julho de 2021, desde o lançamento de seu primeiro VRP há mais de dez anos. A empresa recompensou mais de 2.000 pesquisadores de segurança de 84 países diferentes por relatar cerca de 11.000 bugs.
Ao todo, o Google disse que os pesquisadores ganharam mais de US$ 29 milhões desde janeiro de 2010. Foi quando o programa de recompensa por vulnerabilidades do Chromium chegou.
No relatório Vulnerability Reward Program: 2021 Year in Review da semana passada, a empresa deu uma informação interessante. Ela concedeu um recorde de US$ 8.700.000 em recompensas em 2021. Isso inclui o maior pagamento na história do Android VRP: uma cadeia de exploração de US$ 157.000.
Via BleepingComputer
