Jelentősen megnöveli a keresőóriás a bug bounty programja keretén belül jelentett sérülékenységért járó jutalmakat, ami egyes esetekben az eddigi összeg ötszörösét is jelentheti.
A Google 2023-ban összesen 10 millió dollárt (kb. 3,6 milliárd forint) osztott szét a különböző termékeiben és szolgáltatásaiban megbújó sérülékenységek és hibák felfedéséért, ami ugyan valamivel kevesebb, mint a 2022-es bugvadász program során kifizetett 12 millió dollár, de stabil érdeklődést mutatott a Vulnerability Reward Program iránt.
A programot még vonzóbbá teheti, hogy a keresőóriás pár napja bejelentette: tovább emeli a a rendszereiben és alkalmazásaiban talált hibák jelentéséért járó összegeket a Vulnerability Reward Programon keresztül, egyetlen biztonsági hiba akár már 151 515 dollár, azaz körülbelül 55 millió forint maximális jutalmat is érhet. A július 11 óta jelentett sebezhetőségeknél már az új díjszabást alkalmazza a cég a kifizetések megállapításakor, arra hivatkozva, hogy mostanra már még nehezebb lehet a bugok felderítése az évek során egyre biztonságosabbá vált szolgáltatásaiban.
Egyes kategóriákban akár ötszöröse járhat a régi jutalomnak a különböző típusú, illetve súlyú biztonsági hibáktól függően: a korábbi 13,337 dollár helyett már akár 75 ezer dollárt érhet egy olyan logikai hiba jelentése, ami @gmail.com-os fiók eltulajdonításához vezethet, de egy XSS sebezhetőség is érhet 15 ezer dollárt.
A Google szervereit érintő kódinjekciós sebezhetőségért 101 ezer dollár járhat. A cég bevezeti plusz tényezőként a benyújtott dokumentáció minőségét is, ami ha hanyagabb a kelleténél, az összeg akár a felére csökkenhet, de a rendkívül alapos dokumentáció akár másfélszerezheti a kifizetés értékét.
A Vulnerability Reward Program (VRP) 2010-es elindítása óta a Google több mint 50 millió dollár jutalmat fizetett ki a biztonsági kutatóknak, több mint 15 000 sebezhetőség felderítéséért, 2022-ben érte el csúcsát a program, az akkori éves szinten kifizetett 12 millió dollárral.
Kik azok a bugvadászok és miért jó velük dolgozni? Mi motivál egy ilyen etikus hackert arra, hogy akár a teljes szabadidejét rászánja egy-egy sebezhetőség felkutatására? Nem csak a pénz, bár már itthon is volt rá példa, hogy valaki több tízmillió forintot kasszírozott egyetlen sérülékenység felfedezésével.