Google lani izplačal 6,5 milijona dolarjev prijaviteljem odkritih ranljivosti

Matej Huš

29. jan 2020 ob 21:44:56

Tehnološki velikani so v zadnjih letih vendarle ugotovili, da so programi nagrajevanja odkritih ranljivosti (bug bounty) koristni. Google je v letu 2019 iz tega naslova izplačal rekordnih 6,5 milijona dolarjev, kar je toliko v dveh predhodnih letih skupaj. Največja podeljena nagrada je znašala 201.000 dolarjev, skupno pa so nagradili 461 raziskovalcev. Povečanje mase izplačil je povezano s čedalje širšim naborom izdelkov, ki so vključeni v program, z višjo popularnostjo programa ter tudi z rastjo višine nagrad. Tako je najnižja nagrada odslej 15.000 dolarjev (in ne več 5.000 dolarjev). Najvišja nagrada še vedno ostaja milijon dolarjev za oddaljen, trajni napad na Titan M v novih napravah Pixel, kar ni uspelo še nikomur. Komur bi to uspelo na predogledni verziji, pa bi dobil kar 1,5 milijona dolarjev.

Lani je Google zagnal tudi Developer Data Protection Reward Program, ki je namenjen odkrivanju težav s puščanjem osebnih podatkov v aplikacijah za Android, v OAuth in v razširitvah za Chrome. Za posamezno odkritje hrošča, ki krši politiko zasebnosti, lahko prijavitelji prejmejo do 50.000 dolarjev. Google Play Security Reward Program pa so razširili na vse aplikacije (tudi drugih proizvajalcev), ki imajo vsaj 100 milijonov uporabnikov. V sklopu tega programa so izplačali 650.000 dolarjev.

Google seveda ni edini, ki nagrajuje odkrite in prijavljene ranljivosti. Microsoft je na primer v letu 2018 (za 2019 še ni podatkov) izplačal dva milijona dolarjev (Google v tem letu 3,4 milijona dolarjev), medtem ko je Apple šele lani dokončno odprl program vsem raziskovalcem. Facebook je leta 2018 izplačal 1,1 milijona dolarjev. To so visoke številke, a ne pozabimo, da se posamezne res dobre ranljivosti na sivem trgu prodajajo tudi še bistveno dražje.