Google pagou recorde de US$ 8,7 milhões para Bug Hunters (caçadores de bugs) em 2021. As tecnologias Chrome e Android da empresa continuaram a ser ambientes ricos em alvos para pesquisadores de segurança de todo o mundo.
Os programas de recompensa por bugs podem, às vezes, dizer tanto sobre a disposição de uma organização de trabalhar com pesquisadores de segurança externos para identificar e corrigir vulnerabilidades de segurança em seus produtos quanto sobre sua exposição potencial a possíveis ataques direcionados às suas tecnologias.
Esse valor representou um aumento de quase 30% em relação aos US$ 6,7 milhões em recompensas que o Google pagou aos caçadores de bugs em 2020. Parte do aumento teve a ver com pagamentos mais altos para certos tipos de descobertas de bugs. Mas muito também tem a ver com o número relativamente alto de falhas que os pesquisadores continuam descobrindo em algumas das principais tecnologias do Google.
Mais vulnerabilidades do Chrome
O Chrome é um exemplo. Em 2021, os caçadores de bugs que participaram do programa de recompensas de vulnerabilidades do Google relataram um total de 333 bugs exclusivos de segurança do Chrome – cerca de 10% a mais do que os 300 bugs do Chrome divulgados em 2020. No total, o Google pagou US$ 3,3 milhões a 115 pesquisadores de todo o mundo que encontraram e relatou vulnerabilidades do Chrome para a empresa em 2021. Isso em comparação com US$ 2,1 milhões em recompensas no ano anterior, que foi 83% superior a 2019. A maioria (US$ 3,1 milhões) dos pagamentos do Chrome foi para pesquisadores que relataram bugs de segurança no navegador Chrome. O Google pagou US$ 250.000 por bugs no Chrome OS, incluindo uma recompensa de US$ 45.000 por um bug de escalonamento de privilégios.
O dinheiro da recompensa que o Google pagou aos caçadores de bugs que relataram vulnerabilidades no Google Play também dobrou de US$ 270.000 em 2020 para US$ 550.000 em 2021.
Enquanto isso, novos dados do Google , também divulgados nesta semana, mostraram que os caçadores de bugs da equipe do Projeto Zero da empresa descobriram e relataram 376 problemas de segurança em tecnologias pertencentes a vários outros fornecedores entre 2019 e 2021.
A análise da empresa mostrou que 351 dos bugs foram corrigidos, enquanto os restantes foram marcados como problemas que os respectivos fornecedores não corrigirão. Noventa e seis bugs, ou 26% do total de vulnerabilidades que a equipe do Project Zero descobriu entre 2019 e 2021, envolviam tecnologias da Microsoft, 85 eram relacionadas à Apple e 60 estavam vinculadas às tecnologias do Google. Entre esses fornecedores, o Google foi o mais rápido em lidar com vulnerabilidades divulgadas. Em média, a empresa levou 44 dias para corrigir uma falha, em comparação com 69 dias da Apple e 83 dias da Microsoft.
Fonte: Darkreading
Veja também:
- Emails de Phishing usando o Linkedin aumenta 232%
- Ataque cibernético atinge Ministério da Defesa da Ucrânia e bancos
- VMware emite patches de segurança para falhas de alta gravidade
- Fortinet anuncia crescimento no setor de segurança em nuvem
- Princípio do privilégio mínimo (POLP – Principle Of Least Privilege)
- O que são estruturas de segurança na nuvem e como elas são úteis?
- Telegram pode ser bloqueado no Brasil
- Testes de alto nível para melhorar a segurança de aplicativos
- Ransomwares focam em PMEs para fugir da publicidade e dos aplicadores da lei LockBit, BlackCat, Swissport, a atividade de ransomware permanece forte!
- Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021
- Hardening: o que é? porquê fazer? qual o padrão recomendado?
- Importância da linguagem de Programação de Baixo Nível
Deixe sua opinião!