セキュリティ研究者は、バグバウンティの報酬としてGoogleから670万ドル以上を受け取った / Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards(転載)


Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards:

62カ国のセキュリティ専門家は昨年、Google製品の脆弱性を発見したことで、Googleから670万ドル以上の報酬を受け取っていた。グーグルは10年間、脆弱性報奨プログラム(VRP)の運営に成功しており、同社はグーグル製品の脆弱性を発見したセキュリティ専門家に2800万ドル近くを支払っている。

Googleは今週、「2020年の研究者の信じられないほどのハードワーク、献身、専門知識により、記録的な670万ドル以上の報酬の支払いが発生し、さらに28万ドルが慈善団体に寄付されました」と述べています。2019年11月のエクスプロイトペイアウトの増加に続き、2020年には13件のワーキングエクスプロイトの提出を受け、100万ドル以上のエクスプロイト報酬のペイアウトを記録しました。"

同社によると、Guang Gong氏(@oldfresher)と中国のサイバーセキュリティ企業Qihoo 360の「360 Alpha Lab」の専門家チームが、バグバウンティプログラムの一環として、Androidの脆弱性を全体の30%を発見したとのことです。このグループが発見した最新の脆弱性は、Androidの1クリックリモートルート悪用で、Googleは、このチームが2019年に脆弱性を発見した際の最高のAndroidペイアウト(161,337ドル)を受け取るための記録をまだ保持していると述べています。

昨年、テック大手はAndroidの開発者プレビューの欠陥を発見したセキュリティ専門家に5万ドルを支払い、Android Auto OSやAndroidチップセット、Androidコードのファザーを書いたことに対する報奨金プログラムを導入した。Google Playでは、Googleは認定されたAndroidアプリの基準を拡大し、露出通知APIを利用したアプリや、Covid-19と戦うためにコンタクトトレースを実行するアプリを組み込むようにしました。

懸賞金とは別に、180人以上のセキュリティ研究者が、Google製品やオープンソースのエコシステムで100件の脆弱性が確認された200件のバグレポートを提出したことに対して、Googleから40万ドル以上の助成金を受け取っています。同様のバグバウンティ報奨金プログラムを実施している他の注目すべきテック企業としては、Facebook、OnePlus、Qualcomm、Mozilla、Microsoft、Redditなどが挙げられる。