sábado, febrero 12, 2022

Google pagó 8.7 Millones de dólares en recompensas a los Bug Hunters por descubrir bugs en Android, Chrome o Play

Hace no mucho publicamos en 0xWord el libro de "Bug Bounty: De profesión Cazarecompensas", escrito por Pablo García, donde se habla de cómo funcionan los programas de Bug Hunting en las diferentes plataformas que han ido apareciendo en la red como HackerONE, bugcrowd, Integrity o Yes, We Hack!. Ahí nos cuenta cómo han sido sus experiencias de Bug Hunter y cómo se paga a los Security Researchers por el descubrimiento de nuevos bugs en sus tecnologías.

Figura 1: Google pagó 8.7 Millones de dólares en recompensas
a los Bug Hunters por descubrir bugs en Android, Chrome o Play

Una forma de recompensar el tiempo y el esfuerzo de los hackers que invierten su tiempo y su conocimiento en eliminar vulnerabilidades en herramientas, productos, servicios y plataformas de empresas. Y ahora Google ha publicado los datos de lo que se ha gastado en pagar a los Bug Hunters este año pasado 20221, que ha sido un total de 8.7 Millones de USD, lo que supone un poco más de 2 Millones de USD de lo que pagó el año 2020. Por fallos que han sido principalmente en Android, Chrome y Play

escrito por Pablo García en 0xWord

En el caso del programa de recompensas por bugs de Android, han sido casi 3 Millones de USD en recompensas, de las que la más grande ha sido de 157.000 USD, repartidos todo el dinero entregado entre 119 Security Researchers que reportaron sus vulnerabilidades a, equipo de Google.

Figura 3: Recompensas pagadas por Google por bugs en Android
a Security Researchers durante el año 2021

Google Chrome ha premiado a 115 Security Researchers, por una cantidad un poco mayor, llegando a los 3,2 Millones de USD, pero el premio mayor fue "sólo" de 45.000 USD. Muchos de ellos de saltarse medidas de seguridad del navegador, como las que hemos visto durante muchos años, pero con algunos muy especiales como el CVE-2021-21225 del hacker Brendon Tiszka o el reportado por Rory Mcnamara que podía abrir el camino a un control completo de Chrome en Android. Y el número total de bugs descubiertos por los investigadores ha sido de 333 en 2021, superando los 300 bugs reportados en 2020 para Google Chrome.

Figura 4: Recompensas pagadas por Google por bugs en Chrome
a Security Researchers durante el año 2021

En Google Play las recompensas fueron de 500.000 USD, que sumadas a otros programas de Bug Bounty de Google, hacen que se alcancen esos 8.7 Millones de USD de los que habla el informe que han publicado en el blog de seguridad de GoogleAl final, han sido 696 Bug Hunters de 62 países que han descubierto  y reportado fallos a través del portal de reporte de vulnerabilidades en Google.
Como os podéis imaginar, cada vez encontrar y reportar una vulnerabilidad es una competencia mayor por la calidad profesional de los Security Researchers, pero esto es algo por lo que la comunidad hacker llevaba muchos años reclamando. Que los investigadores fueran recompensados por hacer Responsible Disclosure de los bugs que ellos han descubiertos, que al final hacen que los usuarios estén más protegidos, y que las empresas tengan una mejor tecnología.
 
¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Publicar un comentario