Головна ціль Vulnerability Rewards Program — підвищення рівня безпеки власних продуктів за рахунок стимуляції зовнішніх спеціалістів. Логічно, що дослідники діляться інформацією про баги, аніж використовують їх у корисливих цілях.

За 7 років роботи програми заохочення дослідників, які шукають вразливості у сервісах компанії, Google виплатила 9 млн доларів. Третина цієї суми була виплачена 2016 року. За що ж були винагородженні стороні спеціалісти?

Нагороди

$3,134 отримав Tomasz Bojarski з Польщі за знайдену вразливість на events.google.com. Дослідник розповів, що він протягом трьох років шукав баги у безпеці різних сервісів. Метою його роботи була не грошова винагорода, а розвага. Ось так можна з користю провести свій вільний час.

Два заохочення у розмірі 5 та 7,5 тисяч доларів отримали спеціалісти, які знайшли баг в JavaScript-коді на сторінці відновлення аккаунту Google.

Окремим грантом нагороджений дослідник, який виявив вразливість однобайтового переповнення бібліотеки DNS у Chrome OS. Сума компенсації за виконану роботу не оголошується. Ще 350 учасників програми отримали індивідуальну винагороду у розмірі тисячі доларів.

Цікаво, що деякі винагороди ще не знайшли своїх героїв. У березні 2016 Google вдвічі збільшила можливу виплату за зламану систему Chrome OS, однак все одно досі ніхто не зміг цього зробити.

Зараз сума цього гранту складає 100 тисяч доларів.

Коменти