Компания Google в прошлом году потратила рекордные 10 миллионов долларов на программу поощрений за обнаружение уязвимостей в своих продуктах. Эта сумма стала второй по величине за всю историю программы. Деньги были выплачены 632 исследователям из 68 стран, которые нашли и сообщили о проблемах безопасности.
Крупнейшее единовременное вознаграждение составило 113 337 долларов. Это на 15 тысяч больше предыдущего рекорда, установленного в 2022 году. Хотя сумма меньше 12 миллионов долларов, потраченных Google на программу в 2022 году, она все равно является очень значительной. С 2010 года, когда программа была запущена, общая сумма премий для исследователей достигла 59 миллионов.Особое внимание в прошлом году уделялось мобильной ОС Android. За обнаружение уязвимостей в ней было выплачено 3,4 миллиона долларов. Также компания увеличила максимальный размер премии за критические находки в Android до 15 тысяч долларов. Это сделано, чтобы стимулировать специалистов к поиску проблем безопасности в популярной мобильной ОС.В 2022 году к программе присоединилась операционная система для носимых устройств Wear OS. Это сделано в надежде, что больше экспертов начнут искать уязвимости в смарт-часах и фитнес-трекерах на базе Wear OS. Такие гаджеты собирают личную информацию о пользователях, поэтому их взлом может быть особенно опасен.На нескольких конференциях по кибербезопасности в прошлом году исследователи нашли множество серьезных проблем в продуктах Google. На мероприятии Escal8, посвященном взлому Wear OS и Android Auto, специалисты получили 70 тысяч долларов за более чем 20 критических уязвимостей. Еще 116 тысяч долларов было выплачено на конференции Hardwear.io за 50 найденных уязвимостей в гаджетах Nest, Fitbit и носимой электронике.
В 2023 году в программу поощрений были добавлены технологии искусственного интеллекта, включая чат-бот Bard. На хакатоне SWAT, посвященном поиску ошибок в системах на основе языковых моделей большого размера, было найдено 35 уязвимостей. Исследователи получили за это более 87 тысяч долларов. Среди находок были проблемы типа "Взлом Google Bard: от быстрого развертывания к утечке данных".Отдельно стоит отметить специалиста по безопасности Chrome, который получил 30 тысяч долларов за обнаружение ошибки оптимизации JavaScript в браузере. Эта проблема присутствовала в Chrome как минимум с мая 2021 года и потенциально открывала злоумышленникам доступ к данным пользователей.Таким образом, в 2022 году компания Google потратила рекордные средства на поощрение исследователей за поиск уязвимостей, в 2023 году несколько меньше. Были проанализированы как традиционные продукты вроде Android, так и новые разработки на основе ИИ. Это позволило существенно повысить безопасность миллионов пользователей по всему миру.
