Google pagou US$ 10 milhões em prêmios de vulnerabilidade no ano passado

Resumo

  • O Google pagou US$ 10 milhões em recompensa por brechas de segurança em seus produtos como parte de seu Programa de Recompensas de Vulnerabilidade.
  • Com as mudanças no programa, o Google se concentrou em relatórios de qualidade e problemas de alta gravidade em 2023.
  • Pela primeira vez, grandes modelos de linguagem foram adicionados ao programa de recompensas como parte da evolução da paleta de produtos do Google.



Quanto mais complicado o software fica, maior a probabilidade de haver bugs ou brechas de segurança. O Google e muitas outras empresas reconhecem isso e querem dar aos hackers e pesquisadores de segurança um incentivo para encontrar e relatar problemas. É aí que entra o Programa de Recompensas de Vulnerabilidade (VRP) do Google. No ano passado, a empresa pagou um total de US$ 10 milhões a pesquisadores que relataram problemas com software do Google em todo o mundo.


Quando se trata de Android e de seus próprios dispositivos Google, a empresa pagou US$ 3,4 milhões. Para vulnerabilidades críticas, o Google aumentou o pagamento máximo para até US$ 15.000 nesta categoria. A empresa também finalmente adicionou o Wear OS ao programa, permitindo que pesquisadores de segurança relatassem bugs e vulnerabilidades na plataforma wearable do Google. Ao mesmo tempo, a empresa aumenta o pagamento para relatórios de melhor qualidade, o que leva os pesquisadores a focarem em questões de maior gravidade. Esta também pode ser a razão pela qual o Google pagou menos no total em 2023 do que no ano anterior.

Relacionado

Veja quais novas recompensas e diretrizes o Google adicionou ao seu programa de recompensas em 2023

O novo sistema de classificação de qualidade do Google explicado

O Android não é o único grande projeto do Google e, como tal, os pesquisadores do Google Chrome arrecadaram uma parte do pagamento – US$ 2,1 milhões por 359 relatórios exclusivos. Entre eles estavam alguns problemas de longa data com a codificação V8 que anteriormente haviam passado despercebidos. O Google também trabalhou em algumas melhorias de segurança muito necessárias para o navegador, como o lançamento de recursos que impedem o funcionamento da maioria dos bugs de segurança de memória.


Uma adição lógica ao VRP que ocorrerá em 2023 é a IA generativa. O Google realizou um evento de hacking ao vivo para atingir grandes modelos de linguagem, com pesquisadores tentando injetar prompts para fazer Bard (agora Gemini) revelar segredos que não deveria. Houve dois projetos proeminentes que o Google destacou, incluindo “Hacking Google Bard – From Prompt Injection to Data Exfiltration” e “We Hacked Google AI for $50.000”.

O restante do valor do prêmio de 2023 será distribuído por outros projetos. À medida que a IA e outras ferramentas estão em constante evolução, o Google não vê o fim do VRP. No futuro, a empresa quer estar ainda mais à frente da curva com seus programas de segurança. Dado que houve algumas alterações no VRP em 2023, podemos esperar desenvolvimentos semelhantes à medida que avançamos cada vez mais em 2024.