Google anunció hoy que ha pagado más de $ 15 millones desde el lanzamiento de su programa de recompensas de errores en noviembre de 2010. Solo en el último año, la compañía distribuyó $ 3.4 millones a 317 investigadores de seguridad diferentes, ligeramente por encima de los $ 2.9 millones que entregó a 274 investigadores en el año. antes de. Google otorgó la mitad de las recompensas del año pasado, $ 1.7 millones, a los investigadores que encontraron y reportaron vulnerabilidades en Android y Chrome.

Los programas de recompensas de errores son un gran complemento para los programas de seguridad interna existentes. Ayudan a motivar a individuos y grupos de piratas informáticos para que no solo encuentren fallas, sino que las revelen correctamente, en lugar de usarlas maliciosamente o venderlas a las partes que lo harán. Recompensar a los investigadores de seguridad con recompensas cuesta el maní en comparación con el pago de un error de seguridad grave.

Las recompensas financieras de Google por errores de seguridad varían de $ 100 a $ 200,000, según el nivel de riesgo del descubrimiento. En 2018, sin embargo, la recompensa más grande fue de $ 41,000.

Google también compartió tres historias sobre su programa de recompensas de errores en 2018:

  • Ezequiel Pereira, un investigador uruguayo de 19 años, descubrió un error de Ejecución remota de código (RCE) que le permitió obtener acceso remoto a la consola de Google Cloud Platform.
  • Tomasz Bojarski de Polonia descubrió un error relacionado con las secuencias de comandos entre sitios (XSS), un tipo de error de seguridad que puede permitir a un atacante cambiar el comportamiento o apariencia de un sitio web, robar datos privados o realizar acciones en nombre del usuario. Tomasz fue el mejor cazador de insectos del año pasado y usó el dinero de su recompensa para abrir un albergue y un restaurante.
  • Dzmitry Lukyanenka, un investigador de Minsk, Bielorrusia, fue recompensado con $ 1,337 por descubrir varios errores. Después de que perdió su trabajo, comenzó a buscar errores a tiempo completo y se convirtió en parte del programa de subvenciones VRP de Google, que brinda apoyo financiero a los prolíficos cazadores de errores incluso cuando no están encontrando ni reportando un error.

El programa de recompensas de errores de Google ha estado creciendo desde su inicio, aunque en los últimos años se han visto pagos totales en torno a los $ 3 millones. Aún así, el equipo de seguridad de Google continúa expandiendo el programa para abarcar más productos y ofrecer recompensas más lucrativas, como hasta $ 100,000 por hackear un Chromebook y hasta $ 200,000 por hackear Android.

En noviembre, Google anunció los premios de investigación de Seguridad y Privacidad para reconocer a los académicos que han hecho importantes contribuciones al campo con sus proyectos de investigación. Hoy la compañía anunció los ganadores de 2018:

  • Alina Oprea, Northeastern University: Cloud Security
  • Matthew Green, Johns Hopkins: Criptografía
  • Thorsten Holz, Ruhr-Universität Bochum, Sistemas de Seguridad
  • Alastair Beresford, Cambridge: seguridad y privacidad utilizables, seguridad móvil
  • Carmela Troncoso, École Polytechnique Usable de Lausanne: Privacy / Security ML
  • Rick Wash, Universidad Estatal de Michigan: privacidad y seguridad utilizables
  • Prateek Saxena, Universidad Nacional de Singapur: seguridad ML / Web

En nombre de los académicos, Google está haciendo una contribución financiera a sus respectivas universidades que asciende a más de $ 500,000.