أعلنت شركة جوجل عن زيادة بمقدار خمسة أضعاف في المبالغ المدفوعة مقابل الثغرات الأمنية التي تم العثور عليها في أنظمتها وتطبيقاتها والتي تم الإبلاغ عنها من خلال برنامج مكافأة الثغرات الأمنية، مع مكافأة قصوى جديدة تبلغ 151,515 دولارًا أمريكيًا مقابل ثغرة أمنية واحدة.
“نظرًا لأن أنظمتنا أصبحت أكثر أمانًا بمرور الوقت، فإننا نعلم أن الأمر يستغرق وقتًا أطول بكثير للعثور على الأخطاء – مع وضع ذلك في الاعتبار، يسعدنا جدًا أن نعلن أننا نقوم بتحديث مبالغ المكافآت لدينا بما يصل إلى 5 أضعاف،” جوجل قال.
تجمع أعلى مكافأة جديدة بين “101,010 دولارًا أمريكيًا لـ RCE في أكثر منتجاتنا حساسية، مع معدل تعديل 1.5x يتم تطبيقه لجودة التقرير الاستثنائية=151,515 دولارًا أمريكيًا).”
ستكون فقط تقارير الثغرات الأمنية المرسلة اعتبارًا من اليوم، 11 يوليو، في الساعة 00:00 بالتوقيت العالمي المنسق، مؤهلة للحصول على الدفع باستخدام جدول المكافآت الجديد.
بالإضافة إلى تقديم مدفوعات أعلى، قامت الشركة مؤخرًا بتوسيع خيارات الدفع، بما في ذلك إمكانية تلقي المدفوعات من خلال Bugcrowd.
تم التحديث مبالغ المكافأة يوفر قسم قواعد Google VRP مزيدًا من المعلومات حول التغييرات التي أجرتها Google على مبالغ المكافآت وهيكل الدفع الجديد.
| مثال على الثغرة الأمنية | مكافأة جديدة | المكافأة القديمة |
|---|---|---|
| خلل منطقي يؤدي إلى الاستيلاء على حساب @gmail.com | (50,000 دولار * 1.5)=75000 دولار | 13,337 دولار |
| XSS على idx.google.com | (10000 دولار * 1.5)=15000 دولار | 3,133.7 دولار |
| خلل منطقي في الكشف عن معلومات التعريف الشخصية على home.nest.com | (2500 دولار * 1.5)=3750 دولار | 500 دولار |
التطورات الأخيرة في Google VRP
في الاسبوع الماضي، جوجل تم إطلاق kvmCTF، تم الإعلان عن VRP جديد في أكتوبر 2023 لتحسين أمان المشرف الافتراضي للآلة الافتراضية المستندة إلى Kernel (KVM). يركز kvmCTF على الأخطاء التي يمكن الوصول إليها بواسطة الآلة الافتراضية في المشرف الافتراضي KVM ويقدم مكافأة قدرها 250 ألف دولار لاستغلال ثغرات الهروب الكاملة للآلة الافتراضية.
منذ عام واحد، قامت الشركة أيضًا مكافآت مضاعفة ثلاث مرات لاستغلال سلسلة الهروب من صندوق الحماية Chrome حتى 1 ديسمبر 2023.
منذ برنامج مكافأة الضعف (VRP) تم إطلاقه في عام 2010دفعت شركة جوجل أكثر من 50 مليون دولار كمكافآت لباحثين أمنيين أبلغوا عن أكثر من 15 ألف ثغرة أمنية.
في العام الماضي وحده، جوجل دفعت 10 مليون دولار، حيث تم دفع أعلى مكافأة لصائد الجوائز الذي جمع 113,337 دولارًا.
كانت أعلى مكافأة VRP على الإطلاق 605000 دولار، تم الدفع إلى gzobqqفي عام 2022، تم اكتشاف سلسلة من خمسة ثغرات أمنية في سلسلة استغلال Android. كما أبلغ نفس الباحث الأمني عن سلسلة استغلال أخرى بالغة الأهمية لنظام Android في عام 2021، وحصل على تعويض قدره 157000 دولار.