En breve: Google ha anunciado que otorgó la enorme suma de 10 millones de dólares el año pasado en recompensas por errores, la segunda cantidad más grande que el programa haya pagado jamás. El premio individual más alto en 2023 fue la impresionante cifra de 113.337 dólares.
Google dice que los 10 millones de dólares que pagó a través de su Programa de Recompensa por Vulnerabilidad se destinaron a 632 investigadores de 68 países que descubrieron e informaron vulnerabilidades en los productos de la empresa.
El total del año pasado fue ligeramente inferior al récord de 12 millones de dólares que Google pagó en recompensas por errores durante 2022, pero sigue siendo la segunda cantidad más grande de la historia. Desde que se lanzó el programa en 2010, los investigadores han obtenido un total de $59 millones.
Por su sistema operativo Android, Google entregó 3,4 millones de dólares en recompensas a los investigadores que descubrieron vulnerabilidades en el sistema operativo móvil. Google también aumentó su monto máximo de recompensa por descubrimientos relacionados con Android a $15,000, lo que ayudó a incentivar la presentación de informes.
El año pasado, se agregó Wear OS al programa de recompensas por errores con la esperanza de alentar a más investigadores a buscar vulnerabilidades en la tecnología portátil que podrían poner a los usuarios en riesgo.
Google destacó algunas conferencias de seguridad en las que se descubrieron múltiples problemas. Organizó un evento de piratería en vivo para Wear OS y Android Automotive OS en la conferencia ESCAL8, en la que los investigadores recibieron 70.000 dólares por encontrar más de 20 vulnerabilidades críticas. También destacó las conferencias de seguridad de hardwear.io, donde investigadores de seguridad de hardware descubrieron más de 50 vulnerabilidades en Nest, Fitbit y Wearables, lo que les valió un total de 116.000 dólares el año pasado.
Google añadió IA generativa a su programa de recompensas por vulnerabilidades en 2023. Realizó un evento de piratería en vivo bugSWAT dirigido a productos LLM que resultó en 35 informes y el pago de más de 87 000 dólares. También descubrió cuestiones como Hackear Google Bard: desde la inyección rápida hasta la filtración de datos y Hackeamos la IA de Google por 50.000 dólares.
En otro lugar, un investigador de Chrome obtuvo una recompensa de $30,000 por informar un error de optimización V8 JIT que había estado en el navegador desde al menos M91, que obtuvo una versión estable en mayo de 2021.