Nel 2023, Google ha premiato 632 ricercatori provenienti da 68 paesi con un totale di 10 milioni di dollari per aver individuato e segnalato in modo responsabile le vulnerabilità nei suoi prodotti e servizi. Sebbene questa cifra sia inferiore ai 12 milioni di dollari versati nel 2022 attraverso il Programma di Ricompensa per le Vulnerabilità di Google, dimostra comunque un alto livello di partecipazione della comunità agli sforzi di sicurezza di Google.
La ricompensa più alta per una segnalazione di vulnerabilità nel 2023 è stata di 113.337 dollari, portando il totale delle ricompense distribuite dal lancio del programma nel 2010 a 59 milioni di dollari.
Focus sui progetti principali
Android: Il sistema operativo mobile più diffuso al mondo ha ricevuto oltre 3,4 milioni di dollari in ricompense. Google ha inoltre aumentato la ricompensa massima per le vulnerabilità critiche legate ad Android a 15.000 dollari, incentivando un maggior numero di segnalazioni dalla comunità.
Chrome: Il browser di Google è stato oggetto di 359 segnalazioni di bug di sicurezza, con un totale di 2,1 milioni di dollari in pagamenti. Il 1° giugno 2023, Google ha annunciato che triplicherà i pagamenti dei bug bounty per le vulnerabilità di tipo “sandbox escape chain” su Chrome fino al 1° dicembre 2023.
Sviluppi e miglioramenti
Il programma di bug bounty di Google ha visto diverse iniziative e miglioramenti nel 2023, tra cui l’introduzione del programma di Bonus Awards, l’espansione del programma di ricompense per gli exploit per includere Chrome e Cloud, e il lancio del Mobile VRP per le applicazioni Android di prima parte. Google ha anche inaugurato il blog Bughunters per condividere informazioni e misure di sicurezza per Internet e ha ospitato la conferenza sulla sicurezza ESCAL8 a Tokyo.
Per coloro che sono interessati a partecipare al programma di bug bounty di Google, possono saperne di più attraverso la comunità dei Bug Hunters di Google.
