Google zahlte letztes Jahr 8,7 Millionen Dollar an Bug Bounties

Bug-Bounty-Programme sind zu einem unverzichtbaren Instrument im Sicherheitsarsenal jedes großen Unternehmens geworden, da Forscher dazu ermutigt werden, ihre Entdeckungen im Tausch gegen finanzielle Belohnungen einzureichen.

Google zum Beispiel hat nach Angaben des Unternehmens 2021 nicht weniger als 8,7 Millionen Dollar an Bug Bounties gezahlt, womit das Programm einen neuen Rekord erreicht hat.

Die höchste Belohnung betrug im vergangenen Jahr 157.000 Dollar, wobei Google insgesamt 696 Forschern aus 62 Ländern verschiedene Kopfgelder zukommen ließ.

Was Android selbst betrifft, so entfielen auf das Betriebssystem über 2,9 Millionen Dollar aller Belohnungen, wobei die höchste Belohnung 157.000 Dollar betrug.

Die Android-VRP verdoppelte ihre Gesamtausschüttungen von 2020 im Jahr 2021 mit fast 3 Millionen Dollar an Belohnungen und vergab die höchste Auszahlung in der Geschichte der Android-VRP: eine in Android entdeckte Exploit-Kette erhielt eine Belohnung von 157.000 Dollar! Unser branchenführender Preis in Höhe von 1.500.000 US-Dollar für die Kompromittierung unseres Titan-M-Sicherheitschips, der in unserem Pixel-Gerät verwendet wird, bleibt weiterhin unangetastet - weitere Informationen zu dieser Belohnung und den Belohnungen für Android-Exploit-Ketten finden Sie auf unserer öffentlichen Regelseite.

Der Beitrag von Google Chrome

Die Kopfgelder für Chrome erreichten letztes Jahr 3,2 Millionen Dollar, die höchste Zahlung betrug 45.000 Dollar. Nach eigenen Angaben zahlte Google nicht weniger als 3,1 Millionen Dollar für Sicherheitslücken im Browser, während 250.500 Dollar an Forscher für das von ihnen gemeldete Chrome OS gingen.

Von diesen Gesamtsummen wurden 58.000 Dollar für Sicherheitsprobleme vergeben, die von Fuzzern entdeckt wurden, die von VRP-Forschern zum Chrome Fuzzing-Programm beigetragen wurden. Jeder gültige Bericht eines extern zur Verfügung gestellten Fuzzers erhielt einen Patch-Bonus von 1.000 Dollar, wobei ein Fuzzer-Bericht eine Belohnung von 16.000 Dollar erhielt.

Auf Google Play entfielen außerdem 550.000 Dollar an Bug Bounties, wobei insgesamt 60 Forscher für ihre im vergangenen Jahr eingereichten Sicherheitsberichte bezahlt wurden.