Bleeping Computer 网站披露,2022 年,谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金,为安全研究人员报告的 2900 多个漏洞,支付超 1200 万美元。
2022年,谷歌漏洞奖励总额跃升至1200万美元 (来源:谷歌)
安卓漏洞赏金计划
近期,谷歌发布了漏洞奖励计划(VRPs)的统计数据,详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。
资料显示,最大单笔报酬发给了 gzobqq ,其在提交的报告中详细说明了安卓系统中五个漏洞(CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460)的利用链,一共获得了 60.5 万美元的奖励。
值得一提的是,2021年,gzobqq 发现并报告了安卓系统中的另一个关键漏洞链,获得了 15.7 万美元的奖励,该金额是当时安卓系统 VRP 历史上最高的漏洞赏金。通常情况下,通过谷歌 VRP 提交安卓漏洞的赏金最高为 1 万美元,但对于漏洞链,提供者最高可获得的赏金高达 100 万美元。
2022 年,谷歌为数百个安卓漏洞支付了 480 万美元的奖励,报告大多数漏洞的顶级研究人员主要是以下几位:
Bugsmirror 的 Aman Pandey:超过 200 个漏洞
OPPO 琥珀安全实验室的 Zinuo Han:150 个漏洞
Yu-Cheng Lin:近 100 个漏洞
2022 年,谷歌还通过其与安卓芯片组制造商合作提供的私人奖励计划 ACSRP,为 700 份漏洞安全报告提供了 48.6 万美元的奖励。
Chrome 和 OSS 的奖励
2022 年,谷歌公司还为 Chrome 浏览器中的 363 个漏洞和 ChromeOS 中的 110 个安全漏洞支付了总计 400 万美元的赏金。
除了向研究人员发放奖金外,谷歌还向 170 多名研究人员发放了超过 25 万美元的赠款。这些资金用于关注谷歌产品和服务的个人研究员,即使他们没有发现任何漏洞。
2022 年,谷歌为通过漏洞奖励计划提交的报告支付了 703 名研究人员的费用,并成为 NahamCon 和 BountyCon 安全相关会议的赞助商。
参考文章:
https://www.bleepingcomputer.com/news/security/google-paid-12-million-in-bug-bounties-to-security-researchers/