Google keerde in 2022 elf miljoen euro aan bugbounty's uit

Google keerde in 2022 ruim elf miljoen euro uit aan bugbounty's. Het bedrijf repareerde via het Vulnerability Reward Program 2900 bugs in verschillende besturingssystemen en browsers. Het jaar ervoor keerde Google nog 8,21 miljoen euro uit.

Google schrijft in een blogpost dat er in 2022 opnieuw groei zat in het Vulnerability Rewards Program of VRP. Dat is de verzamelnaam voor meerdere van Googles bugbountyprogramma's waarbij externe beveiligingsonderzoekers kwetsbaarheden in Chrome, Android of webapps kunnen aandragen. In 2022 keerde Google in totaal 12 miljoen dollar uit, omgerekend 11,33 miljoen euro. Dat is een stijging van zo'n 38 procent ten opzichte van 2021, toen Google 8,21 miljoen euro aan bugbounty's uitkeerde. De stijging is daarmee iets hoger dan daarvoor; in dat jaar was de stijging zo'n dertig procent ten opzichte van 2020.

De bugmeldingen kwamen van 703 verschillende onderzoekers uit 68 landen. De hoogste beloning was 605.000 dollar of 571.000 euro. Dat is de hoogste beloning die het bedrijf ooit heeft uitgedeeld, al zegt Google alleen dat dat voor een bug in Android gold. Google betaalt maximaal 1,5 miljoen dollar voor een zeroclick, remoteovername van de Titan M-chip in Pixel-telefoons, maar een dergelijke bug is zeldzaam. Op de commerciële zerodaymarkt levert zo'n bug bovendien veel meer geld op.

Voor bugs in Android betaalde Google 4,5 miljoen euro. In Chrome werden 470 bugs aangedragen en gepatcht, wat onderzoekers 3,8 miljoen euro opleverde. In een bugbountyprogramma dat het bedrijf in augustus opende, waarbij onderzoekers kwetsbaarheden in opensourcesoftware konden opsporen, betaalde Google tot nu toe 103.000 euro uit.

Google bugbountyprogramma 2023

Door Tijs Hofmans

Nieuwscoördinator

23-02-2023 • 11:28

7

Reacties (7)

7
7
3
0
0
3
Wijzig sortering
Voor een bedrijf als google vind ik dat nog meevallen. Het heeft ze 12 miljoen gekost om producten nog beter te beveiligen.
Nee het heeft ze 12 miljoen gekost om fouten te vinden in de software die misbruikt kunnen worden.
ACM Software Architect @Astie23 februari 2023 12:54
Ik denk dat beide stellingen niet helemaal kloppen. Ze hebben 12M uitgegeven aan de beloningen. Daarnaast hadden ze nog kosten voor hun eigen personeel e.a. om die bugs daadwerkelijk te beoordelen en waar nodig op te lossen.
Moonlander en ik hebben het niet over de bijkomende kosten. Het gaat om wat ze krijgen voor die 12 miljoen.
Exact het daadwerkelijke uitgekeerde bedrag is niet het daadwerkelijke kostenplaatje om dit mogelijk te maken. Wel mooi om een stijgende lijn te zien, ik heb persoonlijk ook ervaren dat ze de beveiliging sowieso hebben verbeterd in vergelijking met oudere software producten dus het heeft wel gewerkt. De vraag of het efficiënt was om het op deze manier te doen is lastig te beoordelen. Maar ik verneem dat Google wel weet waar ze mee bezig zijn aldus de ontwikkelaar zelf van het smartphone besturingssysteem.
Ik ben benieuwd hoe je (persoonlijk) ervaart dat de beveiliging verbeterd.
Verschillende scenario's eigenlijk. Ik heb vaak oude apparaten dus het is heel lastig om het over de laatste versie te hebben ik kan alleen de stijgende lijn in de grafiek bevestigen. Maar het zou ook niet goed zijn als er niets aan werd gedaan. Het gaat dan onder meer over het herstellen of unlocken van oude end of life apparaten die afgekeurd zijn(kapot scherm, mb, charging poort). Het gaat onder meer over de locking states hier had je vroeger verschillende menu's en je kon zo door de context menu's je wel glitchen. Bij de nieuwere versies is dit inmiddels wel opgelost. Maar het is lastig om uit te leggen ik hem enkel maar een paar devices getest ik met wel dat bij versie q al meer maatregelen zijn getroffen om dit soort simpele glicthes al te voorkomen.

Op dit item kan niet meer gereageerd worden.