Google keerde in 2022 elf miljoen euro aan bugbounty's uit

Google keerde in 2022 ruim elf miljoen euro uit aan bugbounty's. Het bedrijf repareerde via het Vulnerability Reward Program 2900 bugs in verschillende besturingssystemen en browsers. Het jaar ervoor keerde Google nog 8,21 miljoen euro uit.

Google schrijft in een blogpost dat er in 2022 opnieuw groei zat in het Vulnerability Rewards Program of VRP. Dat is de verzamelnaam voor meerdere van Googles bugbountyprogramma's waarbij externe beveiligingsonderzoekers kwetsbaarheden in Chrome, Android of webapps kunnen aandragen. In 2022 keerde Google in totaal 12 miljoen dollar uit, omgerekend 11,33 miljoen euro. Dat is een stijging van zo'n 38 procent ten opzichte van 2021, toen Google 8,21 miljoen euro aan bugbounty's uitkeerde. De stijging is daarmee iets hoger dan daarvoor; in dat jaar was de stijging zo'n dertig procent ten opzichte van 2020.

De bugmeldingen kwamen van 703 verschillende onderzoekers uit 68 landen. De hoogste beloning was 605.000 dollar of 571.000 euro. Dat is de hoogste beloning die het bedrijf ooit heeft uitgedeeld, al zegt Google alleen dat dat voor een bug in Android gold. Google betaalt maximaal 1,5 miljoen dollar voor een zeroclick, remoteovername van de Titan M-chip in Pixel-telefoons, maar een dergelijke bug is zeldzaam. Op de commerciële zerodaymarkt levert zo'n bug bovendien veel meer geld op.

Voor bugs in Android betaalde Google 4,5 miljoen euro. In Chrome werden 470 bugs aangedragen en gepatcht, wat onderzoekers 3,8 miljoen euro opleverde. In een bugbountyprogramma dat het bedrijf in augustus opende, waarbij onderzoekers kwetsbaarheden in opensourcesoftware konden opsporen, betaalde Google tot nu toe 103.000 euro uit.