Google pagou recorde de US$ 8,7 milhões em recompensas para caçadores de bugs de segurança em 2021

Em um novo recorde para seus Programas de Recompensas por Vulnerabilidades (VRPs), votados para caçadores de bugs, o Google pagou US$ 8,7 milhões a pesquisadores de diversos países no ano passado. Esse montante seria o equivalente a R$ 45,7 milhões hoje (14/02), para termos uma ideia. Em 2020, a empresa tinha pago mais de US$ 6,7 milhões aos caçadores.

A maior recompensa paga em 2021 pelo Google foi de US$ 157 mil (quase R$ 825 mil) – pagamento feito aos caçadores pela descoberta de uma cadeia de exploração no sistema operacional Android. Ao todo, 696 pesquisadores baseados em 62 países foram recompensados por descobrirem e relatarem milhares de vulnerabilidades nas tecnologias do Google.

Leia também:

• Google anuncia projetos que terão US$ 500 mil para pesquisa; 14 são brasileiros
• Conselho Europeu de Editores presta queixa contra tecnologia de publicidade do Google
• Pesquisadora detalha vulnerabilidades que transformavam aplicativos em escutas

Android, Chrome e Google Play

Quase US$ 3 milhões (ou seja, mais de R$ 15,7 milhões) do total das recompensas foram pagos pelo Android VRP, que dobrou seus pagamentos totais de 2020 em 2021. “Nosso prêmio líder do setor de US$ 1.500.000 por um comprometimento de nosso chip Titan-M Security usado em nosso dispositivo Pixel permanece não reivindicado”, explicou o Google. A empresa tem mais informações sobre essa recompensa e recompensas da cadeia de exploração do Android em sua página de regras públicas.

115 pesquisadores do Chrome VRP foram recompensados ??por 333 relatórios exclusivos de bugs de segurança enviados em 2021, totalizando US$ 3,3 milhões (R$ 17,34 milhões) em recompensas do programa no ano passado. “As contribuições não apenas nos ajudam a melhorar o Chrome, mas também a web em geral, reforçando a segurança de todos os navegadores baseados no Chromium”.

Dos US$ 3,3 milhões, US$ 3,1 milhões foram pagos pelo programa por bugs de segurança no navegador (cerca de R$ 16,2 milhões). Já o maior pagamento do Chrome VRP foi de US$ 45 mil (cerca de R$ 236 mil) para um relatório individual de bugs de segurança do Chrome OS – ao todo, o programa pagou US$ 250,5 mil (mais de R$ 1,3 milhões) para caçadores de bugs do sistema operacional.

O Google Play também foi responsável por US$ 550 mil (quase R$ 2,9 milhões) em recompensas por bugs. Este valor também significa um grande aumento do que foi pago aos caçadores de bugs do serviço de distribuição digital da empresa em 2020 (US$ 270 mil). Um total de 60 pesquisadores foram pagos por seus relatórios de segurança do Google Play enviados no ano passado.

Project Zero

Enquanto isso, novos dados do Google – também divulgados esta semana – mostraram que os caçadores de bugs da equipe do Project Zero da empresa descobriram e relataram 376 problemas de segurança em tecnologias pertencentes a vários outros fornecedores entre 2019 e 2021.

A análise do Google mostrou que 351 desses bugs foram corrigidos, enquanto os restantes foram marcados como “WonFix” – problemas que os respectivos fornecedores não deverão corrigir. 96 bugs (26% do total de vulnerabilidades que a equipe do Project Zero descobriu entre 2019 e 2021) envolviam tecnologias da Microsoft, 85 eram relacionadas à Apple e 60 estavam vinculados às tecnologias do Google.

Entre esses fornecedores, segundo seu próprio relatório, o Google foi o mais rápido em lidar com vulnerabilidades divulgadas, levando em média 44 dias para corrigir uma falha. Em comparação, foram 69 dias da Apple e 83 dias da Microsoft.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!