Google a versé 6,5 millions de dollars aux chercheurs qui ont corrigé et signalé des failles dans son programme bug bounty.
De nombreuses entreprises s’appuient sur leurs programmes de bug bounty pour découvrir les failles qu’elles ont manquées. L’un d’eux est Google, qui a versé 6,5 millions de dollars aux chercheurs qui ont trouvé des vulnérabilités l’année dernière.
Ce chiffre de 6,5 millions de dollars est presque le double des 3,4 millions de dollars accordés l’année précédente. La société écrit que depuis leur introduction en 2010, ses Vulnerability Reward Programs (VRP) ont versé plus de 21 millions de dollars au total.
En 2019, 2,1 millions de dollars sont allés à des chercheurs qui ont découvert des vulnérabilités dans les produits Google. Le deuxième gain le plus élevé est allé à Android VRP (1,9 million de dollars), suivi de Chrome VRP (1 million de dollars). Google a également donné 800 000 $ à ceux qui ont identifié des bogues dans Google Play.
La récompense la plus importante est allée au Guang Gong d’Alpha Labs, qui a reçu 201 337 $ pour avoir découvert un exploit majeur sur le Pixel 3.
Il semble que de nombreux chercheurs se sentaient généreux en 2019. « En même temps, nos chercheurs ont décidé de faire un don de 500 000 $ à une association caritative cette année », a écrit Google. « C’est 5 fois le montant que nous avons déjà donné en une seule année. Merci beaucoup pour votre travail acharné et vos dons généreux! »
Google a apporté quelques modifications à ses programmes au cours de la dernière année. Le VRP de Chrome a vu la récompense de base tripler, passant de 5 000 $ à 15 000 $ et le prix maximum pour les rapports de haute qualité est passé de 15 000 $ à 30 000 $. La récompense de sécurité Android la plus élevée est désormais de 1 million de dollars, et le programme de récompenses de sécurité Google Play comprend désormais plus que les 8 meilleures applications; il couvre également toute application avec plus de 100 millions d’installations.
Le mois dernier, Apple a ouvert son programme de bug bounty à tous les chercheurs en sécurité, ayant été auparavant uniquement sur invitation et limité aux vulnérabilités iOS. Il a également augmenté la récompense maximale de 200 000 $ à 1 million de dollars.
