Как известно, Google активно мотивирует сторонних исследователей в области безопасности информационных технологий на поиск и раскрытие информации об узявимостях в сервисах и операционных системах компании. 2016 год стал одним из самых щедрых на выплаты: Google потратила на вознаграждения $3 миллиона - треть от общей суммы в $9 миллионов, которая была выплачена участникам с момента запуска программы Vulnerability Rewards Program в 2010 году. На последнем этапе 350 участников получили индивидуальные гранты в размере $1 000, размер самого крупного вознаграждения составил $100 000. Кстати, в марте 2016 года Google удвоила приз за взлом Chrome OS с $50 000 до $100 000, однако он так и не нашёл своего обладателя.
Главной целью Google остаётся повышение безопасности мобильной операционной системы Android.
"Мы отметили удивительный вклад исследователей Android по всему миру менее чем через год после дебюта Android в программе VRP. Мы также расширили выплату грантов за повышение безопасности в продуктах OnHub и Nest. Мы увеличили наше присутствие на мероприятиях по всему миру, включая Pwn2Own и Pwnfest. Более подробное описание уязвимостей, представленных на этих мероприятиях, позволило нам быстро выпустить соответствующие исправления для экосистемы и обеспечить безопасность клиентам. Например, мы смогли закрыть уязвимость в Chrome через несколько дней после получения информации о ней," - сказано в Google Security Blog.
Вот несколько примеров крупнейших выплат Google за обнаруженные уязвимости в 2016 году:
- Томасц Боярски получил вознаграждение в размере $3 134 за обнаружение уязвимости на сайте events.google.com. По словам Боярски, он искал эксплойты Google целых три года для собственного развлечения. И, возможно, славы.
- Две выплаты в размере $5 000 и $7 500 за обнаружение уязвимости в JavaScript на странице восстановления аккаунта Google.
- Уязвимость однобайтового переполнения библиотеки DNS в Chrome OS, детально описанная в блоге Project Zero.
В ежегодном отчете сказано, что число исследователей безопасности из Индии переживает большой скачок. Один из постоянных участников программы выплат за обнаруженные уязвимости сумел таким образом даже проспонсировать собственный стартап.
