Não é segredo que o ano passado foi cheio de violações de dados e ataques cibernéticos, com várias empresas sendo vítimas de agentes mal-intencionados. No entanto, o programa de recompensa de vulnerabilidade do Google evitou um cenário potencialmente pior, já que a empresa pagou um recorde de US$ 12 milhões por mais de 2.900 vulnerabilidades de segurança relatadas.
Como o nome sugere, o programa de vulnerabilidade é uma maneira de o Google descobrir vulnerabilidades de software em seu sistema e, em troca, dar recompensas em dinheiro aos pesquisadores de segurança. Os incentivos em dinheiro incentivam os pesquisadores a relatar essas vulnerabilidades diretamente ao Google, em vez de explorá-las, o que ajuda a evitar qualquer dano aos sistemas do Google e seus usuários.
Entre os pagamentos, o Android Vulnerability Program teve o maior pagamento de todos os tempos, US$ 605.000 para um único relatório, seguido pelo Android Chipset Security Reward Program, com US$ 468.000 para mais de 700 relatórios. O Programa de Recompensa de Vulnerabilidade do Chrome do Google teve um ano excelente, com quase 500 vulnerabilidades relatadas e mais de US$ 4 milhões pagos em recompensas. No final do ano passado, a empresa também lançou o Programa de Recompensas de Vulnerabilidade de Software de Código Aberto, que teve mais de 100 relatórios e pagou quase US$ 100.000 em recompensas.
Novas categorias este ano
Em um esforço contínuo para aumentar a segurança, o Google está introduzindo novas categorias em seu programa de vulnerabilidade. Enquanto uma das categorias incentivará os pesquisadores a investigar vulnerabilidades nas versões mais recentes dos dispositivos Google Nest e Fitbit, a outra incentivará a pesquisa de bugs de corrupção de memória direcionados a processos altamente privilegiados, incluindo GPU e processos de rede.
Com o aumento dos ataques de segurança cibernética, tornou-se mais importante do que nunca que as empresas tomem medidas proativas para garantir a segurança de seu software, e o Google reconhece a importância de abordar esse problema. Para conseguir isso, a empresa colaborou com renomados pesquisadores de segurança em todo o mundo, incluindo LiveOverflow, PwnFunction, stacksmashing, InsiderPhD e PinkDraconian, para desenvolver vídeos instrutivos e guias destinados a educar jovens talentos sobre a caça de bugs.