2021'de Google'ın Güvenlik Açığı Ödül Programı 119 güvenlik araştırmacısına 8,7 milyon dolar dağıttı

2021'de Google'ın Güvenlik Açığı Ödül Programı 119 güvenlik araştırmacısına 8,7 milyon dolar dağıttı

Hata ödül planları, bir şirketin, teknolojilerine yönelik saldırılara karşı savunmasızlıklarını ortaya çıkaracağından, hizmetlerindeki güvenlik hatalarını bulmak ve onarmak için diğer güvenlik araştırmacılarıyla işbirliği yapmaya hazır olup olmadığı hakkında çok şey ortaya çıkarabilir.

Google, sistem güvenliğini artırmak için Android, Play, Chrome ve diğer hizmetler için Güvenlik Açığı Ödül Programları (VRP'ler) işletmektedir. 2021'de şirket, araştırmacılarının maaşını 2 milyon dolardan 8,7 milyon dolara çıkardı.

Geçen yıl, Android'de bir güvenlik açığını ortaya çıkarmak için en büyük ödeme 157.000 dolardı. Teknoloji devi, Android sürümündeki kusurları açıklayan uzmanlara yaklaşık 3 milyon dolarlık hata ödülü ödedi, ancak Pixel'in Titan-M güvenlik yonga seti sorunları için 1,5 milyon dolarlık teşvik henüz toplanmadı.

2021'de firma ayrıca bughunters.google.com'da şirketin tüm VRP'lerini, yani Google, Android, Kötüye Kullanım, Chrome ve Google Play'i bir araya getirerek hata raporlamayı hızlandıracak olan yeni Hata Avcıları portalının ilk çıkışını da duyurdu. Ayrıca, araştırmacıların yeteneklerini geliştirmelerine yardımcı olmak için özel olarak tasarlanmış veriler sağlar.

Chrome VRP, 3.1$'ı tarayıcı sorunlarına giden 3.288.000$ ve Chrome OS'ye ayrılan 250.500$ ile bir kez daha ön plandaydı. Chrome OS için en yüksek ödül 45.000 dolardı ve toplamda 115 uzman ödüllendirildi.

Android, bir önceki yıl 1,74 milyon dolardan 2,935,244 dolarlık hata ödülleriyle ikinci oldu. Kayıtlara geçen en büyük Android VRP ödülüne göre, "Android'de ortaya çıkarılan bir sömürü zinciri 157.000 dolarlık bir ödül aldı".

Firmanın diğer belli başlı Android yonga setlerinin üreticileriyle ortaklaşa yürüttüğü Android Chipset Security Reward Program (ACSRP) adına 220 meşru ve ayırt edici güvenlik uyarısı için toplam 296.000 $ verildi.

Ayrıca 60'tan fazla güvenlik uzmanı, Google Play güvenlik açığı için 550.000 ABD Doları tutarında hata ödülü ödemesi aldı.

Firma, Google Kubernetes Engine'in (GKE) önemli erişilebilir gereksinimlerindeki güvenlik zayıflıklarını ele alan şeffaf Kubernetes tabanlı Bayrak Yakalama programı (kCTF) için VRP'si adına 175.685 $ kazandı.

Tersine, Google'ın Project Zero ekibinden gelen yeni bilgiler, 2019'dan 2021'e kadar, şirketin Project Zero ekibindeki hata araştırmacılarının, çeşitli farklı tedarikçilerin sistemlerinde 376 gizlilik kusurunu ortaya çıkardığını ve ifşa ettiğini ortaya koydu.

Firmanın araştırmasına göre, kusurların 351'i gerçekten ele alındı, geri kalanı ise tedarikçilerin ele almayacağı sorunlar olarak belirlendi. 2019'dan 2021'e kadar Project Zero ekibi, Microsoft hizmetlerini içeren tüm kusurların %26'sını temsil eden 96 sorunu, iOS'u içeren 85 hatayı ve Google ürünlerini etkileyen 60 hatayı ortaya çıkardı. Bu sağlayıcılar içinde, açıkça araştırılan kusurlara en duyarlı olan Google oldu. Teknoloji devi, Apple için 69 gün ve Microsoft tarafından 83 gün ile karşılaştırılabilir bir hatayı düzeltmek için genellikle 44 gün sürer.

2021de-googlein-guvenlik-acigi-odul-programi-119-guvenlik-arastirmacisina-87-milyon-dolar-dagitti.png