Google telah mengumumkan peningkatan lima kali lipat dalam pembayaran untuk bug yang ditemukan dalam sistem dan aplikasinya yang dilaporkan melalui Program Hadiah Kerentanan, dengan hadiah maksimum baru sebesar $151.515 untuk satu kelemahan keamanan.
“Seiring dengan semakin amannya sistem kami dari waktu ke waktu, kami tahu bahwa butuh waktu lebih lama untuk menemukan bug – dengan mengingat hal itu, kami sangat gembira mengumumkan bahwa kami akan memperbarui jumlah hadiah kami hingga 5x,” kata Google dikatakan.
Hadiah tertinggi yang baru menggabungkan “$101.010 untuk RCE dalam produk kami yang paling sensitif, dengan pengubah 1,5x diterapkan untuk kualitas laporan yang luar biasa = $151.515).”
Hanya laporan kerentanan yang diserahkan mulai hari ini, 11 Juli, pukul 00:00 UTC, yang akan memenuhi syarat untuk dibayarkan menggunakan tabel hadiah baru.
Selain menawarkan pembayaran yang lebih tinggi, perusahaan baru-baru ini memperluas opsi pembayaran, termasuk kemungkinan menerima pembayaran melalui Bugcrowd.
Yang diperbarui Jumlah Hadiah bagian dari aturan VRP Google menyediakan informasi lebih lanjut tentang perubahan Google pada jumlah hadiah dan struktur pembayaran baru.
| Contoh Kerentanan | Hadiah Baru | Hadiah Lama |
|---|---|---|
| Cacat logika yang menyebabkan akun @gmail.com diambil alih | ($50.000 x 1,5) = $75.000 | Rp 13.337.000 |
| XSS di idx.google.com | ($10.000 x 1,5) = $15.000 | Rp 3.133,7 juta |
| Cacat logika yang mengungkapkan PII di home.nest.com | ($2.500 x 1,5) = Rp 3.750.000 | $500 |
Perkembangan VRP Google terkini
Minggu lalu, Google meluncurkan kvmCTFVRP baru yang diumumkan pada Oktober 2023 untuk meningkatkan keamanan hypervisor Mesin Virtual berbasis Kernel (KVM). kvmCTF berfokus pada bug yang dapat dijangkau VM di hypervisor KVM dan menawarkan hadiah $250.000 untuk eksploitasi pelarian VM penuh.
Setahun yang lalu, perusahaan juga hadiah tiga kali lipat untuk eksploitasi rantai pelarian sandbox Chrome hingga 1 Desember 2023.
Sejak Program Penghargaan Kerentanan (VRP) diluncurkan pada tahun 2010Google telah membayar lebih dari $50 juta sebagai hadiah kepada peneliti keamanan yang melaporkan lebih dari 15.000 kerentanan.
Tahun lalu saja, Google dibayar $10 jutadengan hadiah tertinggi diberikan kepada pemburu bayaran yang mengumpulkan $113.337.
Bounty VRP tertinggi yang pernah ada adalah $605.000, dibayar ke gzobqq pada tahun 2022 untuk serangkaian lima bug keamanan dalam rantai eksploitasi Android. Peneliti keamanan yang sama melaporkan rantai eksploitasi Android kritis lainnya pada tahun 2021, yang menghasilkan pembayaran sebesar $157.000.
