Numa iniciativa que procura aumentar a segurança, o Google pagará mais para descobertas de falhas do Kernel e Kubernetes.
O Google diz que aumentou as recompensas para relatórios de vulnerabilidades do Linux Kernel, Kubernetes, Google Kubernetes Engine (GKE) ou kCTF adicionando bônus maiores para bugs e explorações do tipo zero-day usando técnicas de exploração exclusivas.
Google pagará mais para descobertas de falhas do Kernel e Kubernetes
Embora tenha anunciado inicialmente em novembro que os relatórios de vulnerabilidades críticas receberão recompensas de até US$ 50.337, dependendo de sua gravidade, o Google agora aumentou a recompensa máxima para US$ 91.337.
“Aumentamos nossas recompensas porque reconhecemos que, para atrair a atenção da comunidade, precisávamos corresponder nossas recompensas às expectativas deles”, explicou o Google Vulnerability Matchmaker Eduardo Vela.
“Consideramos a expansão um sucesso e, por isso, gostaríamos de estendê-la ainda mais, pelo menos até o final do ano (2022).”
Obter a quantia máxima de dinheiro para um exploit depende de várias condições, incluindo se eles são zero-days (bugs desconhecidos sem um patch de segurança), se eles não exigem namespaces de usuários sem privilégios e se eles usam novas técnicas de exploit.
Cada um deles vem com um bônus de US$ 20.000 que pode elevar o valor de um primeiro envio de exploração válido até US$ 91.337.
“Essas mudanças aumentam algumas explorações de 1 dia para 71.337 USD (acima de 31.337 USD) e fazem com que a recompensa máxima para uma única exploração seja de 91.337 USD (acima de 50.337 USD)”, explicou Vela.
“Também vamos pagar pelo menos US$ 20.000, mesmo por duplicatas, se elas demonstrarem novas técnicas de exploração (acima de US$ 0). No entanto, também limitaremos o número de recompensas por 1 dia a apenas uma por versão/compilação.”
Embora o Google não pague por explorações duplicadas da mesma falha de segurança, a empresa diz que os bônus para novas técnicas de exploração ainda serão aplicados, o que significa que os pesquisadores ainda podem receber US$ 20.000 por duplicatas.
Desde novembro, o Google pagou mais de US$ 175.000 por nove envios diferentes, incluindo cinco dias zero e dois dias 1.
O Google diz que já corrigiu três dessas nove vulnerabilidades: CVE-2021-4154, CVE-2021-22600 (patch) e CVE-2022-0185 (writeup).
“Esses três bugs foram encontrados pela primeira vez pelo Syzkaller, e dois deles já haviam sido corrigidos nas versões principal e estável do Linux Kernel no momento em que nos foram relatados”, acrescentou Vela.
Como o Google revelou em julho de 2021, desde o lançamento de seu primeiro VRP há mais de dez anos, ele recompensou mais de 2.000 pesquisadores de segurança de 84 países diferentes por relatar cerca de 11.000 bugs.
Ao todo, o Google disse que os pesquisadores ganharam mais de US$ 29 milhões desde janeiro de 2010, quando o programa de recompensa por vulnerabilidades do Chromium foi lançado.
No relatório Vulnerability Reward Program: 2021 Year in Review publicado na semana passada, a empresa disse que concedeu um recorde de US$ 8.700.000 em recompensas em 2021, incluindo o maior pagamento na história do Android VRP: uma cadeia de exploração de US$ 157.000.