Google pagou recorde de US$ 8,7 milhões para Bug Hunters em 2021

Google pagou recorde de US$ 8,7 milhões para Bug Hunters (caçadores de bugs) em 2021. As tecnologias Chrome e Android da empresa continuaram a ser ambientes ricos em alvos para pesquisadores de segurança de todo o mundo.

Os programas de recompensa por bugs podem, às vezes, dizer tanto sobre a disposição de uma organização de trabalhar com pesquisadores de segurança externos para identificar e corrigir vulnerabilidades de segurança em seus produtos quanto sobre sua exposição potencial a possíveis ataques direcionados às suas tecnologias.

Por essa medida, as plataformas Android, Chrome e Play do Google continuam a ser ambientes ricos em vulnerabilidades para os maus atores visarem. No ano passado, o Google pagou um recorde de US$ 8,7 milhões em recompensas a 696 caçadores de bugs de 62 países que descobriram e relataram milhares de vulnerabilidades nas tecnologias da empresa.

Esse valor representou um aumento de quase 30% em relação aos US$ 6,7 milhões em recompensas que o Google pagou aos caçadores de bugs em 2020. Parte do aumento teve a ver com pagamentos mais altos para certos tipos de descobertas de bugs. Mas muito também tem a ver com o número relativamente alto de falhas que os pesquisadores continuam descobrindo em algumas das principais tecnologias do Google.

Mais vulnerabilidades do Chrome

O Chrome é um exemplo. Em 2021, os caçadores de bugs que participaram do programa de recompensas de vulnerabilidades do Google relataram um total de 333 bugs exclusivos de segurança do Chrome – cerca de 10% a mais do que os 300 bugs do Chrome divulgados em 2020. No total, o Google pagou US$ 3,3 milhões a 115 pesquisadores de todo o mundo que encontraram e relatou vulnerabilidades do Chrome para a empresa em 2021. Isso em comparação com US$ 2,1 milhões em recompensas no ano anterior, que foi 83% superior a 2019. A maioria (US$ 3,1 milhões) dos pagamentos do Chrome foi para pesquisadores que relataram bugs de segurança no navegador Chrome. O Google pagou US$ 250.000 por bugs no Chrome OS, incluindo uma recompensa de US$ 45.000 por um bug de escalonamento de privilégios.

O sistema operacional Android do Google continuou a ser rico em alvos também. No ano passado, a empresa pagou US$ 3 milhões a caçadores de bugs que relataram falhas no Android, quase o dobro dos US$ 1,7 milhão do ano anterior. Apenas dois principais caçadores de bugs no programa de recompensas de vulnerabilidades do Android relataram impressionantes 360 vulnerabilidades válidas ao Google em 2021. Um deles, o pesquisador Aman Pandey, enviou 232 vulnerabilidades, enquanto o outro, Yu-Cheng Lin, relatou 128 bugs. O Google também fez seu maior pagamento de todos os tempos por uma vulnerabilidade do Android em 2021 – US$ 157.000 para um pesquisador que descobriu uma exploração crítica na tecnologia

O dinheiro da recompensa que o Google pagou aos caçadores de bugs que relataram vulnerabilidades no Google Play também dobrou de US$ 270.000 em 2020 para US$ 550.000 em 2021.

Em 2021, o Google lançou um portal público de pesquisadores que reúne todos os programas de recompensas de vulnerabilidades da empresa, incluindo aqueles para Chrome, Android, Play. O portal foi projetado para facilitar o envio de bugs e dar aos pesquisadores participantes do programa mais oportunidades de interagir uns com os outros, de acordo com a empresa.

Enquanto isso, novos dados do Google , também divulgados nesta semana, mostraram que os caçadores de bugs da equipe do Projeto Zero da empresa descobriram e relataram 376 problemas de segurança em tecnologias pertencentes a vários outros fornecedores entre 2019 e 2021.

A análise da empresa mostrou que 351 dos bugs foram corrigidos, enquanto os restantes foram marcados como problemas que os respectivos fornecedores não corrigirão. Noventa e seis bugs, ou 26% do total de vulnerabilidades que a equipe do Project Zero descobriu entre 2019 e 2021, envolviam tecnologias da Microsoft, 85 eram relacionadas à Apple e 60 estavam vinculadas às tecnologias do Google. Entre esses fornecedores, o Google foi o mais rápido em lidar com vulnerabilidades divulgadas. Em média, a empresa levou 44 dias para corrigir uma falha, em comparação com 69 dias da Apple e 83 dias da Microsoft.

Fonte: Darkreading

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!