Alguien ganó mucho dinero descubriendo vulnerabilidades en los productos de Google en 2022, reveló la compañía.
El gigante de los motores de búsqueda reveló recientemente los resultados de su Programa de recompensas por vulnerabilidades, una campaña de recompensas por errores que recompensa a los piratas informáticos éticos que descubren fallas importantes en sus productos y las divulgan de manera responsable en lugar de darles la oportunidad de abusar de ellas con malware. (se abre en una pestaña nueva).
En total, la empresa pagó más de 12 millones de dólares por aproximadamente 2900 vulnerabilidades en el transcurso de 2022.
Fallas en Android, Chrome y ChromeOS
Un informe único se destaca en el informe de Google: un pirata informático descubrió una cadena de explotación que involucraba cinco vulnerabilidades separadas en Android: CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022 -20460. Google decidió que la cadena de exploits garantizaba una recompensa de $605,000.
La persona que descubrió la cadena de exploits se conoce con el alias gzobqq, informó BleepingComputer, y agregó que la misma persona también ganó $ 157,000 en 2021 por una cadena de exploits crítica en Android. Ambas cadenas de exploits fueron la mayor cantidad de errores en Android en sus respectivos momentos.
En cuanto a Android específicamente, el año pasado Google pagó $ 4,8 millones en recompensas. Los tres piratas informáticos más activos informaron 200, 150 y 100 errores, respectivamente.
Además, la empresa pagó casi 500 000 dólares por 700 informes realizados a través del Programa de recompensas de seguridad del chipset de Android. ACSRP es un programa privado de recompensas por errores reservado solo para fabricantes de chipsets de Android.
Por 363 fallas descubiertas en Chrome y 110 en ChromeOS, Google pagó $ 4 millones.
La mayoría de las principales empresas de tecnología operan programas de recompensas por errores, ya que son una excelente manera de incentivar a la comunidad de ciberseguridad en general para que participe en el fortalecimiento del software más popular del mundo.
En agosto de 2022, Microsoft informó haber pagado $ 13,7 millones en recompensas a 330 investigadores de seguridad en 46 países. El premio más grande, bajo el Programa Hyper-V Bounty, fue de $200,000, agregó la compañía, mientras que el premio promedio fue de aproximadamente $12,000.
Apple, por otro lado, dijo que pagó $ 20 millones a través de su programa de recompensas por errores en 2022, con una recompensa promedio en la categoría de productos de $ 40,000.
Vía: BleepingComputer (se abre en una pestaña nueva)