Google pagou recorde $ 8.7 milhões para caçadores de insetos em 2021

Por essa medida, as plataformas Android, Chrome e Play do Google continuam sendo ambientes ricos em vulnerabilidade para que atores maus. No ano passado, o Google pagou um recorde de $ 8.7 milhões em recompensas para 696 caçadores de insetos de terceiros de 62 países que descobriram e relataram milhares de vulnerabilidades nas tecnologias da empresa.

Resumo:

Google pagou um recorde de $ 8.7 milhões em recompensas para caçadores de insetos em 2021. Os caçadores de insetos descobriram e relataram milhares de vulnerabilidades nas plataformas Android, Chrome e Play do Google. Essas plataformas são ambientes ricos em vulnerabilidades para maus atores segmentar.

Pontos chave:

1. Google pagou um recorde de $ 8.7 milhões em recompensas para caçadores de insetos em 2021.
2. 696 caçadores de insetos de terceiros de 62 países descobriram e relataram vulnerabilidades.
3. As plataformas Android, Chrome e Play do Google são ambientes ricos em vulnerabilidades.

Questões:

1. Quais plataformas o Google pagou caçadores de insetos para?
2. Quanto o Google pagou caçadores de insetos em 2021?
3. Quantos caçadores de insetos de diferentes países foram recompensados ​​pelo Google?
4. O que os caçadores de insetos descobriram e relataram?
5. Quais plataformas são ambientes ricos em vulnerabilidades para maus atores?
6. Qual foi o aumento nas recompensas de caça aos insetos em comparação com 2020?
7. Quantos bugs exclusivos de segurança do Chrome foram relatados em 2021?
8. Quanto foi pago aos pesquisadores por descobertas de bugs do Chrome?
9. Qual é o objetivo do programa de recompensa de insetos do Google?
10. Quais projetos de código aberto estão incluídos no programa?
11. Quais foram os principais ataques da cadeia de suprimentos em 2021?
12. Qual é o compromisso do Google com a segurança cibernética?
13. Que outras recompensas de bugs Google adicionou ao longo dos anos?
14. Qual é o esforço mais amplo de empresas de software privadas e o governo?
15. Que serviço o Google anunciou para melhorar a segurança de código aberto?

Respostas:

1. O Google pagou caçadores de bugs por vulnerabilidades em suas plataformas Android, Chrome e Play.
2. Google pagou um recorde de $ 8.7 milhões para caçadores de insetos em 2021.
3. 696 caçadores de insetos de terceiros de 62 países foram recompensados ​​pelo Google.
4. Os caçadores de insetos descobriram e relataram milhares de vulnerabilidades nas tecnologias do Google.
5. As plataformas Android, Chrome e Play do Google são ambientes ricos em vulnerabilidades para maus atores.
6. As recompensas de caça aos insetos aumentaram quase 30% em comparação com 2020.
7. Um total de 333 bugs exclusivos de segurança do Chrome foram relatados em 2021.
8. Google pagou $ 3.3 milhões para pesquisadores para descobertas de bugs do Chrome.
9. O objetivo do programa de recompensa de bugs do Google é fortalecer a segurança da cadeia de suprimentos de software.
10. Bazel, Angular, Golang, Buffers de protocolo e fúcsia estão incluídos no programa.
11. Os principais ataques da cadeia de suprimentos em 2021 incluíram o Codecov e a vulnerabilidade LOG4J.
12. O Google comprometeu US $ 10 bilhões a melhorar a segurança cibernética e proteger a cadeia de suprimentos.
13. O Google adicionou recompensas de bugs focadas no Chrome, Android e outros produtos e projetos.
14. O esforço mais amplo das empresas de software privado e do governo é melhorar a cadeia de suprimentos e a segurança de código aberto.
15. O Google anunciou um serviço chamado Software de código aberto garantido para melhorar a segurança de código aberto.

Nota: As respostas fornecidas são baseadas nas informações fornecidas no artigo e são escritas em um tom pessoal e baseado em experiência.

Google pagou recorde $ 8.7 milhões para caçadores de insetos em 2021

Por essa medida, as plataformas Android, Chrome e Play do Google continuam sendo ambientes ricos em vulnerabilidade para que atores maus. No ano passado, o Google pagou um recorde de $ 8.7 milhões em recompensas para 696 caçadores de insetos de terceiros de 62 países que descobriram e relataram milhares de vulnerabilidades nas tecnologias da empresa.

Encontre um buraco de segurança no código aberto do Google e você poderá colocar uma recompensa de US $ 31.337

Será suficiente para impedir o próximo ataque de cadeia de suprimentos de software?

Ter 30 de agosto de 2022 // 22:58 UTC

O Google criou um programa de recompensa de bugs que recompensará aqueles que encontram e relatarão vulnerabilidades em seus projetos de código aberto, esperançosamente fortalecendo a segurança da cadeia de suprimentos de software.

O Programa de Recompensas de Vulnerabilidade de Software de código aberto (OSS VRP) pagará caçadores de insetos entre US $ 100 e US $ 31.337 (Eleet, Elite . geddit?), com os pagamentos mais altos indo para “vulnerabilidades incomuns ou particularmente interessantes”, de acordo com os Googles Francis Perron, gerente de programas técnicos de segurança de código aberto e engenheiro da InfoSec Krzysztof Kotowicz.

Além disso, os grandes pagamentos serão destinados a pesquisadores que encontram e relatam vulnerabilidades nos “mais sensíveis” dos projetos de código aberto mantidos no Google: Bazel, Angular, Golang, Buffers de Protocolo e Fuchsia.

Esses projetos são usados ​​em vários produtos da Web Titan: por exemplo, a linguagem de programação GO designada no Google é usada fortemente na análise para ambientes de contêineres, enquanto seu Fuchsia OS alimenta dispositivos inteligentes, incluindo ninhos de propriedade de alfabeta.

Após 2021, que provou ser um ano de banner para a cadeia de suprimentos e ataques de software de fonte aberta, o mais recente VPR do Google busca hackers éticos para casa em orifícios de segurança que podem levar a compromissos da cadeia de suprimentos e problemas de design que causam vulnerabilidades do produto, bem como credenciais vazadas, senhas fracas e instalações de inseguros.

“No ano passado, houve um aumento de 650% ano a ano em ataques direcionados à cadeia de suprimentos de código aberto, incluindo incidentes de atração principal como Codecov e a vulnerabilidade LOG4J que mostrou o potencial destrutivo de uma única vulnerabilidade de código aberto”, escreveu Perron e Kotowicz.

“O OSS VRP do Google faz parte do nosso compromisso de US $ 10 bilhões em melhorar a segurança cibernética, incluindo a garantia da cadeia de suprimentos contra esses tipos de ataques para os usuários do Google e os consumidores de código aberto em todo o mundo”, eles acrescentaram.

O VRP original de 12 anos do Google se expandiu ao longo dos anos e adicionou recompensas de insetos focadas no Chrome, Android e outros produtos e projetos. No início deste mês, o projeto Capture-the-Flag, baseado em Kubernetes, do Google, que paga aos pesquisadores que exploram bugs no kernel Linux, aumentou permanentemente seus pagamentos para uma recompensa máxima de US $ 133.337.

No total, o Google pagou $ 8.7 milhões em recompensas para quase 700 pesquisadores em seus vários VPRs no ano passado.

• Chefe de recompensa de bugs do Google: encontrando e patching vulns? ‘Totalmente inútil’
• A Microsoft supera o Google para os pagamentos de recompensas de insetos 2021-22
• CIOs acreditam em grande parte que sua cadeia de suprimentos de software é vulnerável
• A verdade sobre o projeto de lei que proíbe o tio Sam comprando software inseguro

A mudança também faz parte de um esforço mais amplo de empresas de software privadas e do governo federal para melhorar a cadeia de suprimentos e a segurança de código aberto.

Em maio, após uma reunião da Casa Branca, o Google e um punhado de outras grandes empresas de tecnologia anunciaram um compromisso de mais de US $ 30 milhões em implementar um plano para melhorar a segurança da cadeia de suprimentos de código aberto e de software. Logo depois, o Google anunciou um serviço chamado software de código aberto garantido que tenta facilitar para as empresas garantirem suas dependências de software de código aberto.

Embora as recompensas de insetos bem executadas sejam sempre bem-vindas, os pagamentos relativamente parcimoniosos que o Google oferece parece um pouco barato contra o dinheiro oferecido por outras empresas e concorrentes, sem mencionar os compradores particulares que procuram vulnerabilidades realmente boas. ®

Google pagou recorde $ 8.7 milhões para caçadores de insetos em 2021

As tecnologias Chrome e Android da empresa continuaram sendo ambientes ricos em alvo para pesquisadores de segurança de todo o mundo.

11 de fevereiro de 2022

Fonte: Achinthamb via Shutterstock

Às vezes, os programas de pendrúbula de insetos podem dizer tanto sobre a disposição de uma organização de trabalhar com pesquisadores de segurança externos de identificar e corrigir vulnerabilidades de segurança em seus produtos, como acontece sobre sua potencial exposição a possíveis ataques direcionados a suas tecnologias.

Por essa medida, as plataformas Android, Chrome e Play do Google continuam sendo ambientes ricos em vulnerabilidade para que atores maus. No ano passado, o Google pagou um recorde de $ 8.7 milhões em recompensas para 696 caçadores de insetos de terceiros de 62 países que descobriram e relataram milhares de vulnerabilidades nas tecnologias da empresa.

Esse valor representou um aumento de quase 30% em relação aos US $ 6.7 milhões em recompensas que o Google pagou caçadores de insetos em 2020. Parte do aumento teve a ver com pagamentos mais altos para certos tipos de descobertas de bugs. Mas muito também teve a ver com o número relativamente alto de falhas que os pesquisadores continuam a descobrir em algumas das principais tecnologias do Google.

Mais vulnerabilidades do Chrome
Chrome é um exemplo. Em 2021, os caçadores de insetos que participaram do programa de recompensas de vulnerabilidades do Google relataram um total de 333 bugs exclusivos de segurança do Chrome – cerca de 10% a mais do que os 300 bugs do Chrome divulgados em 2020. No total, o Google pagou $ 3.3 milhões a 115 pesquisadores de todo o mundo que encontraram e relataram vulnerabilidades do Chrome à empresa em 2021. Isso comparado com US $ 2.1 milhão em recompensas no ano anterior, que foi 83% maior que 2019. Most (US $ 3.1 milhão) dos pagamentos do Chrome foram para pesquisadores que relataram insetos de segurança no navegador Chrome. O Google pagou US $ 250.000 por bugs no Chrome OS, incluindo uma recompensa de US $ 45.000 por um bug de escalada de privilégio.

O sistema operacional Android do Google continuou a ser rico em alvo também. No ano passado, a empresa pagou US $ 3 milhões a caçadores de insetos que relataram falhas do Android, que quase dobraram dos US $ 1.7 milhões no ano anterior. Apenas dois principais caçadores de insetos no programa de recompensas de vulnerabilidades do Android relataram uma impressionante 360 ​​vulnerabilidades válidas ao Google em 2021. Um deles, o pesquisador Aman Pandey, enviou 232 vulnerabilidades, enquanto o outro, Yu-Cheng Lin, relatou 128 bugs. O Google também fez seu maior pagamento de todos os tempos por uma vulnerabilidade do Android em 2021 – US $ 157.000 a um pesquisador que descobriu uma exploração crítica na tecnologia

O dinheiro da recompensa que o Google pagou aos caçadores de insetos que relataram vulnerabilidades no Google Play também dobrou de US $ 270.000 em 2020 para US $ 550.000 em 2021.

Em 2021, o Google lançou um portal de pesquisadores públicos que reúne todos os programas de recompensas de vulnerabilidades da empresa, incluindo os do Chrome, Android,. O portal foi projetado para facilitar os envios de insetos e dar aos pesquisadores que participam do programa mais oportunidades de interagir entre si, de acordo com a empresa.

Projeto Zero
Enquanto isso, novos dados do Google, também divulgados nesta semana, mostraram que os caçadores de insetos com a equipe do Projeto Zero da empresa descobriram e relataram 376 questões de segurança em tecnologias pertencentes a vários outros fornecedores entre 2019 e 2021.

A análise da empresa mostrou que 351 dos bugs foram corrigidos, enquanto o restante foi marcado como problemas que os respectivos fornecedores não corrigirão. Noventa e seis bugs, ou 26% das vulnerabilidades totais que a equipe do Projeto Zero descobriu entre 2019 e 2021, envolvendo a Microsoft Technologies, 85 estavam relacionados à Apple e 60 estavam vinculados à Google Technologies. Entre esses fornecedores, o Google foi o mais rápido em abordar vulnerabilidades divulgadas. Em média, a empresa levou 44 dias para corrigir uma falha, em comparação com 69 pela Apple e 83 dias para a Microsoft.

Acompanhe as mais recentes ameaças de segurança cibernética, vulnerabilidades recém-descobertas, informações de violação de dados e tendências emergentes. Entregue diariamente ou semanalmente direito à sua caixa de entrada de e -mail.

Google para pagar ₹ 25 lakh para encontrar bugs em seus projetos de código aberto

A gigante da tecnologia Google lançou um novo programa de recompensa de insetos, onde concederá até US $ 31.337 (quase ₹ 25 lakh) a pesquisadores que identificam vulnerabilidades nos projetos de código aberto da empresa. O recém -anunciado Programa de Recompensa de Vulnerabilidades (VRP) se concentrará no software do Google e configurações de repositório, como ações do GitHub, configurações de aplicativos e regras de controle de acesso.

Dependendo da gravidade da vulnerabilidade e da importância do projeto, as recompensas variarão de US $ 100 a US $ 31.337. “Os principais prêmios serão destinados a vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, Buffers de Protocolo e Fuchsia”, disse o Google.

As quantidades maiores também serão destinadas a vulnerabilidades incomuns ou particularmente interessantes, “então a criatividade é incentivada”, disse o Google ao lançar seu programa de recompensas de vulnerabilidade de software de código aberto (OSS VRP).

Como mantenedor de grandes projetos como Golang, Angular e Fuchsia, o Google está entre os maiores colaboradores e usuários de código aberto do mundo.

No ano passado, o Google viu um aumento de 650 % ano a ano em ataques direcionados à cadeia de suprimentos de código aberto.

Com a adição do próprio programa de recompensa de vulnerabilidades do Google (VRP), os pesquisadores agora podem ser recompensados ​​por encontrar bugs que possam impactar todo o ecossistema de código aberto.

O programa VRP original foi um dos primeiros do mundo e agora está se aproximando de seu 12º aniversário.

“Com o tempo, nossa formação de VRP se expandiu para incluir programas focados em Chrome, Android e outras áreas. Coletivamente, esses programas recompensaram mais de 13.000 envios, totalizando mais de US $ 38 milhões pagos “, disse o Google em comunicado na terça -feira na terça -feira.

O Google pagou US $ 12 milhões em recompensas de insetos aos pesquisadores de segurança

O Google no ano passado pagou sua maior recompensa de insetos de todos os tempos através do programa de recompensa de vulnerabilidades por uma cadeia crítica de exploração relatório de que a empresa avaliada em US $ 605.000.

No total, o Google gastou mais de US $ 12 milhões por mais de 2.900 vulnerabilidades em seus produtos descobertos e relatados por pesquisadores de segurança.

Android Bunties

O Google publicou as estatísticas para os programas de recompensa de vulnerabilidade (VRPs) em 2022, fornecendo uma visão geral de como a comunidade de pesquisa de segurança contribuiu para tornar os produtos da empresa mais seguros.

O maior pagamento foi para um relatório detalhando uma cadeia de exploração de cinco bugs (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2012-20460) em Android submetido pelo GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado com GZOBQQ, que foi recompensado por GzobqQ, que foi recompensado por Gzobqq, que foi recompensado por GzobQQ, que foi recompensado por GzobqQ, que foi recompensado por Gzobqq, que foi recompensado por GzobqQ,.

Em 2021, o mesmo pesquisador descobriu e relatou outra cadeia crítica de exploração no Android e recebeu US $ 157.000 – a maior recompensa de insetos da história do Android VRP na época.

Normalmente, a recompensa das vulnerabilidades do Android enviada pelo Google VRP é de até US $ 10.000, mas para explorar cadeias, a empresa paga até US $ 1 milhão.

Em 2022, o Google pagou US $ 4.8 milhões em recompensas para centenas de bugs do Android. Os principais pesquisadores que relataram a maioria das vulnerabilidades são:

• Aman Pandey de Bugsmirror – mais de 200 bugs
• Zinuo Han do Oppo Amber Security Lab – 150 bugs
• Yu -cheng lin – quase 100 bugs

O Google também concedeu US $ 486.000 no ano passado por 700 relatórios de segurança através do Programa de Recompensa de Segurança do Chipset Android somente para convidados – um programa de recompensa privada que o Google oferece em colaboração com os fabricantes de chipset Android.

Recompensas Chrome e OSS

A empresa também pagou um total de US $ 4 milhões em 2022 por 363 vulnerabilidades no navegador Chrome e 110 questões de segurança no Chromeos.

O Google anunciou que este ano o Chrome VRP começará a experimentar e poderá oferecer oportunidades de bônus para questões de segurança relatadas no navegador e Chromeos.

O programa de recompensas para produtos de código aberto que o Google lançou em agosto de 2022 concedeu mais de 100 caçadores de insetos com mais de US $ 110.000.

Além das recompensas pagas aos pesquisadores, o Google também concedeu mais de US $ 250.000 em subsídios a mais de 170 pesquisadores. Esses fundos são para indivíduos que ficam de olho nos produtos e serviços do Google, mesmo que não’t Encontre alguma vulnerabilidade.

Em 2022, o Google pagou 703 pesquisadores pelos relatórios enviados pelos programas de recompensas de vulnerabilidades e foi patrocinador das conferências relacionadas à segurança Nahamcon e Bountycon.