Google Payé Record 8 $.7 millions pour les chasseurs de bugs en 2021

Selon cette mesure, les plateformes Android, Chrome et Play de Google continuent d’être des environnements riches en vulnérabilité pour que les mauvais acteurs ciblent. L’année dernière, Google a payé un record de 8 $.7 millions de récompenses à 696 chasseurs de bugs tiers de 62 pays qui ont découvert et signalé des milliers de vulnérabilités dans les technologies de l’entreprise.

Résumé:

Google a payé un record de 8 $.7 millions de récompenses aux chasseurs de bugs en 2021. Les chasseurs de bogues ont découvert et signalé des milliers de vulnérabilités dans les plateformes Android, Chrome et Play de Google. Ces plateformes sont des environnements riches en vulnérabilité pour que les mauvais acteurs ciblent.

Points clés:

1. Google a payé un record de 8 $.7 millions de récompenses aux chasseurs de bugs en 2021.
2. 696 chasseurs de bugs tiers de 62 pays ont découvert et signalé des vulnérabilités.
3. Les plateformes Android, Chrome et Play de Google sont des environnements riches en vulnérabilité.

Des questions:

1. Pour quelles plateformes Google a-t-il payé des chasseurs de bogues?
2. Combien Google a-t-il payé des chasseurs de bogues en 2021?
3. Combien de chasseurs de bogues de différents pays ont été récompensés par Google?
4. Qu’est-ce que les chasseurs de bogues ont découvert et signalé?
5. Quelles plateformes sont des environnements riches en vulnérabilité pour les mauvais acteurs?
6. Quelle a été l’augmentation des récompenses de chasse aux insectes par rapport à 2020?
7. Combien de bogues de sécurité chromés uniques ont été signalés en 2021?
8. Combien a été payé aux chercheurs pour les découvertes de bogues chromés?
9. Quel est l’objectif du programme Boug Bounty de Google?
10. Quels projets open source sont inclus dans le programme?
11. Quelles ont été les principales attaques de chaîne d’approvisionnement en 2021?
12. Quel est l’engagement de Google envers la cybersécurité?
13. Ce que les autres primes de bogue ont ajouté Google au fil des ans?
14. Quel est l’effort plus large des sociétés de logiciels privées et du gouvernement?
15. Quel service Google a annoncé pour améliorer la sécurité open-source?

Réponses:

1. Google a payé des chasseurs de bogues pour les vulnérabilités dans leurs plateformes Android, Chrome et Play.
2. Google a payé un record de 8 $.7 millions pour les chasseurs de bugs en 2021.
3. 696 Les chasseurs de bugs tiers de 62 pays ont été récompensés par Google.
4. Les chasseurs de bogues ont découvert et signalé des milliers de vulnérabilités dans les technologies de Google.
5. Les plateformes Android, Chrome et Play de Google sont des environnements riches en vulnérabilité pour les mauvais acteurs.
6. Les récompenses de chasse aux insectes ont augmenté de près de 30% par rapport à 2020.
7. Un total de 333 bogues de sécurité chromés uniques ont été signalés en 2021.
8. Google a payé 3 $.3 millions aux chercheurs pour les découvertes de bogues chromées.
9. L’objectif du programme Boug Bounty de Google est de renforcer la sécurité des chaînes d’approvisionnement logicielle.
10. Bazel, Angular, Golang, Protocol Buffers et Fuchsia sont inclus dans le programme.
11. Les principales attaques de chaîne d’approvisionnement en 2021 comprenaient Codecov et la vulnérabilité log4j.
12. Google a engagé 10 milliards de dollars pour améliorer la cybersécurité et sécuriser la chaîne d’approvisionnement.
13. Google a ajouté des primes de bogues axées sur le chrome, Android et d’autres produits et projets.
14. L’effort plus large des sociétés de logiciels privées et du gouvernement est d’améliorer la chaîne d’approvisionnement et la sécurité open source.
15. Google a annoncé un service appelé Assured Open Source Software pour améliorer la sécurité open source.

Remarque: Les réponses fournies sont basées sur les informations fournies dans l’article et sont écrites sur un ton personnel et basé sur l’expérience.

Google Payé Record 8 $.7 millions pour les chasseurs de bugs en 2021

Selon cette mesure, les plateformes Android, Chrome et Play de Google continuent d’être des environnements riches en vulnérabilité pour que les mauvais acteurs ciblent. L’année dernière, Google a payé un record de 8 $.7 millions de récompenses à 696 chasseurs de bugs tiers de 62 pays qui ont découvert et signalé des milliers de vulnérabilités dans les technologies de l’entreprise.

Trouvez un trou de sécurité dans l’open source de Google et vous pourriez apporter une récompense de 31 337 $

Sera-t-il suffisant pour empêcher la prochaine attaque de chaîne d’approvisionnement logicielle?

Mar 30 août 2022 // 22:58 UTC

Google a créé un programme de prime de bogue qui récompensera ceux qui trouvent et signalent des vulnérabilités dans ses projets open-source, espérons ainsi que l’espoir de renforcer la sécurité de la chaîne d’approvisionnement logicielle.

Le programme de récompenses de vulnérabilité des logiciels open source (OSS VRP) paiera les chasseurs de bogues entre 100 $ et 31 337 $ (Eleet, Elite . geddit?), avec les paiements les plus élevés allant à des “vulnérabilités inhabituelles ou particulièrement intéressantes”, selon Googlers Francis Perron, gestionnaire de programme technique de sécurité open source et ingénieur InfoSec Krzysztof Kotowicz.

De plus, de gros paiements iront aux chercheurs qui trouvent et signalent des vulnérabilités dans les “plus sensibles” des projets open-source sur Google: Bazel, Angular, Golang, Tampons de protocole et fuchsia.

Ces projets sont utilisés dans plusieurs produits du Web Titan: par exemple, le langage de programmation Go Go Google est largement utilisé dans l’analyse dans les environnements de conteneurs, tandis que son système d’exploitation fuchsia alimente les appareils à domicile intelligente, y compris le nid appartenant à Alphabet.

After 2021, which proved a banner year for supply chain and open-source software attacks, Google’s latest VPR seeks ethical hackers to home in on security holes that can lead to supply chain compromise and design issues that cause product vulnerabilities, as well as leaked credentials, weak passwords, and insecure installations.

“L’année dernière, une augmentation de 650% d’une année sur l’autre des attaques ciblant la chaîne d’approvisionnement open source, y compris des incidents de tête d’affiche comme Codecov et la vulnérabilité Log4J qui montrait le potentiel destructeur d’une seule vulnérabilité open source”, a écrit Perron et Kotowicz.

“L’OSS VRP de Google fait partie de notre engagement de 10 milliards de dollars à améliorer la cybersécurité, notamment la sécurisation de la chaîne d’approvisionnement contre ces types d’attaques pour les utilisateurs de Google et les consommateurs open source dans le monde”, ont-ils ajouté.

Le VRP original de Google de 12 ans s’est développé au fil des ans et a ajouté des primes de bogues axées sur Chrome, Android et d’autres produits et projets. Plus tôt ce mois-ci, le projet Capture-the-Flag, basé sur Kubernetes, de Google, qui paie les chercheurs pour exploiter des bogues dans le noyau Linux, a permis de manière permanente ses paiements à une récompense maximale de 133 337 $.

Au total, Google a versé 8 $.7 millions de récompenses à près de 700 chercheurs dans ses différents VPR l’année dernière.

• Boss Bounty Bounty de Google: trouver et corriger les vulns? ‘Totalement inutile’
• Microsoft l’emporte sur Google pour les paiements de primes de bug 2021-22
• Les DSI croient en grande partie que leur chaîne d’approvisionnement logicielle est vulnérable
• La vérité sur ce projet de loi interdisant à l’oncle Sam achetant un logiciel sans sécurité

Cette décision fait également partie d’un effort plus large des sociétés de logiciels privées ainsi que du gouvernement fédéral pour améliorer la chaîne d’approvisionnement et la sécurité open source.

En mai, après une réunion de la Maison Blanche, Google et une poignée d’autres grandes entreprises technologiques ont annoncé un engagement de 30 millions de dollars et plus pour mettre en œuvre un plan visant à améliorer la sécurité de la chaîne d’approvisionnement en open source et logicielle. Peu de temps après, Google a annoncé un service appelé Assured Open Source Software qui tente de faciliter la sécurisation de leurs dépendances logicielles open source.

Bien que les primes de bug bien gérées soient toujours les bienvenues, les paiements relativement parcimonieux Google offrent un peu bon marché contre l’argent proposé par d’autres sociétés et concurrents, sans parler des acheteurs privés à la recherche de très bonnes vulnérabilités. ®

Google Payé Record 8 $.7 millions pour les chasseurs de bugs en 2021

Les technologies Chrome et Android de l’entreprise ont continué à être des environnements riches en cible pour les chercheurs en sécurité du monde entier.

11 février 2022

Source: Achinthamb via Shutterstock

Les programmes de primes de bogues peuvent parfois en dire autant sur la volonté d’une organisation de travailler avec des chercheurs en sécurité externe pour identifier et réparer les vulnérabilités de sécurité dans leurs produits comme il le fait sur leur exposition potentielle à des attaques potentielles ciblant leurs technologies.

Selon cette mesure, les plateformes Android, Chrome et Play de Google continuent d’être des environnements riches en vulnérabilité pour que les mauvais acteurs ciblent. L’année dernière, Google a payé un record de 8 $.7 millions de récompenses à 696 chasseurs de bugs tiers de 62 pays qui ont découvert et signalé des milliers de vulnérabilités dans les technologies de l’entreprise.

Ce montant représentait une augmentation de près de 30% par rapport aux 6 $.7 millions de récompenses que Google a payé les chasseurs de bogues en 2020. Une partie de l’augmentation avait à voir avec des paiements plus élevés pour certains types de découvertes de bogues. Mais beaucoup avait aussi à voir avec le nombre relativement élevé de défauts que les chercheurs continuent de dénicher dans certaines des technologies de base de Google.

Plus de vulnérabilités chromées
Chrome est un exemple. En 2021, les chasseurs de bogues qui ont participé au programme de récompenses de vulnérabilité de Google ont signalé un total de 333 bogues de sécurité chromés uniques – quelque 10% de plus que les 300 bogues chromés divulgués en 2020. Au total, Google a payé 3 $.3 millions à 115 chercheurs du monde entier qui ont trouvé et signalé des vulnérabilités chromées à l’entreprise en 2021. Cela par rapport à 2 $.1 million de récompenses l’année précédente, qui était lui-même 83% supérieur à 2019. La plupart (3 $.1 million) des paiements chromés sont allés aux chercheurs qui ont signalé des bogues de sécurité dans le navigateur Chrome. Google a payé 250 000 $ pour les bogues à Chrome OS, y compris une récompense de 45 000 $ pour un bogue d’escalade de privilège.

Le système d’exploitation Android de Google a également continué à être riche en cibles. L’année dernière, la société a payé 3 millions de dollars aux chasseurs de bugs qui ont déclaré des défauts Android, ce qui était un doublement quasi par rapport au 1 $.7 millions l’année précédente. Seuls deux principaux chasseurs de bogues dans le programme de récompenses de vulnérabilité Android ont rapporté une vulnérabilité stupéfiante 360 ​​valides à Google en 2021. L’un d’eux, le chercheur Aman Pandey, a soumis 232 vulnérabilités, tandis que l’autre, Yu-Cheng Lin, a signalé 128 bogues. Google a également effectué son plus haut paiement de jamais pour une vulnérabilité Android en 2021 – 157 000 $ à un chercheur qui a découvert un exploit critique dans la technologie

L’argent de récompense que Google a payé aux chasseurs de bugs qui ont déclaré des vulnérabilités dans Google Play ont également doublé de 270 000 $ en 2020 à 550 000 $ en 2021.

En 2021, Google a lancé un portail de chercheur public qui rassemble tous les programmes de récompenses de vulnérabilité de l’entreprise, y compris ceux de Chrome, Android, Play. Le portail est conçu pour faciliter les soumissions de bogues et donner aux chercheurs participant au programme plus d’occasions d’interagir les uns avec les autres, selon l’entreprise.

Projet zéro
Pendant ce temps, de nouvelles données de Google, également publiées cette semaine, ont montré que les chasseurs de bogues avec l’équipe du projet Zero de l’entreprise ont découvert et signalé 376 problèmes de sécurité dans les technologies appartenant à divers autres fournisseurs entre 2019 et 2021.

L’analyse de l’entreprise a montré que 351 des bogues ont été corrigés, tandis que les autres ont été marqués comme des problèmes que les fournisseurs respectifs ne résoudront pas. Quatre-vingt-seize bogues, soit 26% des vulnérabilités totales que l’équipe du projet Zero a découvertes entre 2019 et 2021, impliquait Microsoft Technologies, 85 étaient liés à la pomme et 60 étaient liés à Google Technologies. Parmi ces fournisseurs, Google a été le plus rapide pour résoudre les vulnérabilités divulguées. En moyenne, la société a pris 44 jours pour réparer une faille, contre 69 par Apple et 83 jours pour Microsoft.

Suivez les dernières menaces de cybersécurité, les vulnérabilités nouvellement découvertes, les informations sur les violations de données et les tendances émergentes. Livré quotidiennement ou hebdomadaire dans votre boîte de réception par e-mail.

Google pour payer 25 lakh pour trouver des bogues dans ses projets open source

Le géant de la technologie Google a lancé un nouveau programme de primes de bogues où elle accordera jusqu’à 31 337 $ (près de 25 lakh) aux chercheurs qui repèrent les vulnérabilités dans les projets open source de l’entreprise. Le programme de récompense de vulnérabilité nouvellement annoncé (VRP) se concentrera sur les logiciels Google et les paramètres du référentiel comme les actions GitHub, les configurations d’application et les règles de contrôle d’accès.

Selon la gravité de la vulnérabilité et de l’importance du projet, les récompenses varient de 100 $ à 31 337 $. “Les principaux prix iront aux vulnérabilités trouvées dans les projets les plus sensibles: bazel, angulaire, golang, tampons de protocole et fuchsia”, a déclaré Google.

Les montants plus importants iront également à des vulnérabilités inhabituelles ou particulièrement intéressantes, “donc la créativité est encouragée”, a déclaré Google lors du lancement de son programme de récompenses de vulnérabilité des logiciels open source (OSS VRP).

En tant que mainteneur de grands projets tels que Golang, Angular et Fuchsia, Google est parmi les plus grands contributeurs et utilisateurs de l’open source au monde.

L’année dernière, Google a vu une augmentation de 650% en glissement annuel des attaques ciblant la chaîne d’approvisionnement open source.

Avec l’ajout du propre programme de récompense de vulnérabilité de Google (VRP), les chercheurs peuvent désormais être récompensés pour trouver des bugs qui pourraient potentiellement avoir un impact sur l’ensemble de l’écosystème open source.

Le programme VRP original a été l’un des premiers au monde et approche maintenant de son 12e anniversaire.

“Au fil du temps, notre gamme VRP s’est développée pour inclure des programmes axés sur le chrome, Android et d’autres domaines. Collectivement, ces programmes ont récompensé plus de 13 000 soumissions, totalisant plus de 38 millions de dollars payés “, a déclaré Google dans un communiqué mardi tard mardi.

Google a payé 12 millions de dollars en primes de bogues aux chercheurs en sécurité

L’année dernière, Google a payé sa plus haute prime de bogue à travers le programme de récompense de vulnérabilité pour un rapport critique de la chaîne d’exploitation que la société évaluée à 605 000 $.

Au total, Google a dépensé plus de 12 millions de dollars pour plus de 2 900 vulnérabilités dans ses produits découverts et rapportés par des chercheurs en sécurité.

Android Bugs Bounty

Google a publié les statistiques pour les programmes de récompense de vulnérabilité (VRP) en 2022, ce qui donne un aperçu de la façon dont la communauté de la recherche sur la sécurité a contribué à rendre les produits de l’entreprise plus sécurisés.

Le plus grand paiement a été pour un rapport détaillant une chaîne d’exploitation de cinq bogues (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) dans Android soumis par GZOBQQ, qui a été récompensé avec 605 000 $).

En 2021, le même chercheur a découvert et signalé une autre chaîne d’exploitation critique dans Android et a reçu 157 000 $ – la plus haute générosité de bogue de l’histoire du VRP Android à l’époque.

En règle générale, la prime des vulnérabilités Android soumises via Google VRP est jusqu’à 10 000 $ mais pour les chaînes d’exploitation, la société paie jusqu’à 1 million de dollars.

En 2022, Google a payé 4 $.8 millions de récompenses pour des centaines de bogues Android. Les meilleurs chercheurs qui ont signalé la plupart des vulnérabilités sont:

• Aman Pandey de Bugsmirror – plus de 200 bogues
• Zinuo Han de Oppo Amber Security Lab – 150 bogues
• Yu-Cheng Lin – Près de 100 bogues

Google a également attribué 486 000 $ l’année dernière pour 700 rapports de sécurité via le programme de récompense de sécurité Android Chipset Invite uniquement (ACSRP) – un programme de récompense privé que Google propose en collaboration avec Android Chipset Makers.

Récompenses chrome et oss

La société a également payé un total de 4 millions de dollars en 2022 pour 363 vulnérabilités dans Chrome Browser et 110 problèmes de sécurité dans Chromeos.

Google a annoncé que cette année, Chrome VRP commencera à expérimenter et pourrait offrir des opportunités de bonus pour les problèmes de sécurité signalés dans le navigateur et Chromeos.

Le programme de récompenses pour les produits open source que Google a lancé en août 2022 a décerné plus de 100 chasseurs de bogues avec plus de 110 000 $.

Outre les primes payées aux chercheurs, Google a également accordé plus de 250 000 $ en subventions à plus de 170 chercheurs. Ces fonds sont destinés aux personnes qui gardent un œil sur les produits et services Google, même s’ils ne font pas’T Trouvez des vulnérabilités.

En 2022, Google a payé 703 chercheurs pour les rapports soumis par le biais des programmes de récompenses de vulnérabilité et a été parrain pour les conférences liées à la sécurité Nahamcon et BountyCon.