كشفت شركة غوغل الأمريكية عن قيمة أعلى مكافأة تم منحاه لباحث أمني تقني ضمن ما يمسى ببرنامج مكافآت الثغرات الأمنية “Vulnerability Reward Program”.
وبلغت قيمة المكافأة العليا على الإطلاق من غوغل في عام 2022 مبلغ “605,000 دولار أمريكي”، وقد مُنحت لباحث أمني معروف باسم gzobqq، لقاء الإبلاغ عن سلسلة استغلال لخمس ثغرات حرجة، هي: CVE-2022-20427، و CVE-2022-20428، و CVE-2022-20454، و CVE-2022-20459، CVE-2022-20460. وفي عام 2021، اكتشف الباحث نفسه وأبلغ عن سلسلة استغلال لثغرات حرجة أخرى في نظام أندرويد، وقد حصل على 157,000 دولار أمريكي، وهي أعلى مكافأة في برنامج مكافآت الثغرات الأمنية لنظام أندرويد.
وعادةً ما تصل قيمة مكافأة الثغرات الأمنية في نظام أندرويد المقدمة من خلال برنامج مكافآت الثغرات الأمنية إلى 10,000 دولار أمريكي، ولكن بالنسبة لسلاسل الاستغلال، فإن الشركة تدفع ما يصل إلى مليون دولار. وبالمجمل، أنفقت غوغل أكثر من 12 مليون دولار أمريكي لقاء اكتشاف زهاء 2,900 ثغرة في منتجاتها والإبلاغ عنها.
وفي عام 2022، دفعت غوغل 4.8 ملايين دولار كمكافآت لاكتشاف المئات من ثغرات أندرويد. وقد كان أهم الباحثين الذين أبلغوا عن معظم الثغرات: (أمان باندي) من شركة Bugsmirror الذي أبلغ عن 200 ثغرة، و(زينو هان) من شركة OPPO Amber Security Lab وقد أبلغ عن 150 ثغرة، و(يو تشنج لين) الذي أبلغ عن 100 ثغرة. ومنحت غوغل أيضًا 486,000 دولار أمريكي في العام الماضي مقابل 700 تقرير أمني من خلال (برنامج مكافآت أمان الشرائح لأندرويد) Android Chipset Security Reward القائم على نظام الدعوات فقط، والذي تقدمه الشركة بالتعاون مع شركات صناعة الشرائح.
ودفعت الشركة أيضًا ما مجموعه 4 ملايين دولار في عام 2022 مقابل 363 ثغرة في متصفح كروم، و110 ثغرات أمنية في نظام التشغيل المفتوح المصدر (كروم أو إس) ChromeOS.
وأعلنت غوغل أن برنامج مكافآت الثغرات الأمنية لكروم سيبدأ هذا العام مرحلة تجريبية، وقد يقدم فرصًا إضافية لمشكلات الأمان التي أُبلغ عنها في المتصفح ونظام (كروم أو إس). ومنح برنامج المكافآت للمنتجات المفتوحة المصدر، الذي أطلقته غوغل في شهر آب/ أغسطس 2022، أكثر من 110,000 دولار أمريكي لأكثر من 100 من متصيدي الثغرات. وبصرف النظر عن المكافآت المدفوعة للباحثين، منحت غوغل أيضًا أكثر من 250,000 دولار أمريكي في شكل منح لأكثر من 170 باحثًا. وهذه الأموال مخصصة للأفراد الذين يراقبون منتجات جوجل وخدماتها، حتى لو لم يجدوا أي ثغرات أمنية. وفي عام 2022، دفعت غوغل لـ 703 باحثين مقابل التقارير المقدمة من خلال برامج مكافآت الثغرات الأمنية، كما كانت راعيةً للمؤتمرات المتعلقة بالأمان، مثل: (ناهام كون) NahamCon، و(باونتي كون) BountyCon.
