Szukanie dziury w całym popłaca – Google podsumowuje rok w programie bug bounty

Maciej Olanicki, 10.02.2019 r.

Każdy szanujący się producent oprogramowania czy też dostawca usług internetowych prowadzi dziś program bug bounty, w którym wynagradza znaleźców luk bezpieczeństwa. Odstępstwo od tego standardu może się nawet okazać sporym problemem, o czym w ostatnim czasie dobitnie przekonało się Apple. Dziura w macOS-ie pozostaje niezałatana, gdyż Apple nie zapłaci za jej odnalezienie.

VRP – Google wypłaciło 3,4 mln dolarów

Programy bug bounty są zatem ważnym elementem swojego rodzaju dżentelmeńskiej umowy między białymi kapeluszami a producentami. Są jednak także argumentem na rzecz porzucania czarnych kapeluszy – wszak skoro korporacje same płacą niemało za odnajdywanie podatności, to próby sprzedaży exploitów na czarnym rynku nie są już tak atrakcyjne. Jedną z firm, które poświęca spore środki (choć w porównaniu z przychodami jest to ochłap) na nagradzanie białych kapeluszy jest Google. Program Google Vulnerability Reward Program (VRP) realizowany jest konsekwentnie od 2010 roku.

W ostatnim czasie korporacja podsumowała rok 2018 w swoim programie bug bounty i trzeba przyznać, że liczby robią wrażenie. W zeszłym roku przyznano 1319 nagród 317 osobom z 78 państw. Ich łączna wartość wyniosła 3,4 mln dolarów, z czego 1,7 mln dolarów to nagrody za znalezienie dziur w Androidzie i Chrome. Największa pojedyncza nagroda wyniosła 41 tys. dolarów, czyli według dzisiejszego kursu równowartość ponad 156 tys złotych. Jak widać, szukanie dziury w całym to całkiem intratne zajęcie.

W podsumowaniu Google jest i polski akcent – korporacja wymienia Tomasza Bojarskiego, który w zeszłym roku był liderem wśród wszystkich nagrodzonych. W tym także miał spory wkład w bezpieczeństwo, odnajdując podatność XSS wewnątrz domen Google, której wykorzystanie można obejrzeć w filmie poniżej. W tym roku pierwsze pozycje zostały zdominowane przede wszystkim przez pracowników naukowych. Google przekazało za ich pośrednictwem ponad 500 tys. dolarów uczelniom wyższym.

Od momentu uruchomienia pierwszego programu bug bounty, Google wypłaciło uczestnikom około 15 mln dolarów. Warto zwrócić uwagę, że nagrody są bardzo zróżnicowane. Aby zostać nagrodzonym, nie trzeba wcale odkrywać krytycznej luki, na której wykorzystanie narażone są miliony. Dolny próg nagród to 100 dolarów, ale maksymalnie jednorazowo Google może zapłacić 200 tys. dolarów. Szczegóły i „cennik” można znaleźć na stronie Google Vulnerability Reward Program.