Google опубликовала итоговые результаты программ выплат вознаграждений независимым исследователям за выявление уязвимостей в своих продуктах. В 2019 году общая сумма выплаченных компаний вознаграждений составила $6.5 млн долларов. Это почти в два раза больше, чем ежегодные выплаты по программам вознаграждений, сделанные компанией в 2016-2018 годах.
Основная часть бонусов была получена исследователями за нахождение уязвимостей в сервисах Google и в ОС Android, а также в браузере Chrome и приложениях Google Play.
«2019 год стал еще одним рекордным годом для нас, благодаря нашим исследователям! Мы выплатили более 6,5 миллионов долларов в виде вознаграждений, что вдвое больше, чем мы когда-либо платили за один год. В то же время наши исследователи решили пожертвовать рекордную сумму в $500 тыс. на благотворительность в этом году. Это в пять раз больше, чем когда-либо было пожертвовано ими ранее за один год. Большое спасибо за ваш тяжелый труд и щедрые пожертвования!» — заявили представители компании в Google Security Blog.
Вознаграждения от Google в 2019 году получили четыреста шестьдесят один исследователь. Самая большая выплата одному специалисту составила $201 337. Ее получил исследователь Гуан Гун из подразделения Alpha Lab ИБ-компании Qihoo 360 Technology. Это вознаграждение за найденные им три уязвимости — обнаруженную возможность удаленного запуска кода на устройстве Pixel 3 ($161 тыс.) и за две уязвимости ($40 тыс.) в браузере Chrome (CVE-2019-5870 и CVE-2019-5877), которые были исправлена в версии 77.0.3865.75.
Также компания Google подытожила сумму выплат по своим программам вознаграждения с 2010 года — она составила более $21 млн.
Ранее 31 августа 2019 года Google расширила программу вознаграждения Google Play Security Rewards Program (GPSRP) и для защиты пользовательских данных ввела новую программу Developer Data Protection Reward Program (DDPRP). Также в компании Google заявили, что специалисты по безопасности смогут сообщать о найденных уязвимостях дважды: через программу GPSRP и напрямую через программы вознаграждений самих компаний-производителей приложений, таким образом, давая шанс ИБ-исследователю дважды получать вознаграждение за свой труд.
