谷歌(Google)宣布,对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞的奖励金额将提高五倍,单个安全漏洞的新最高奖励金额为 151515 美元。
谷歌表示:"随着时间的推移,我们的系统已经变得更加安全,我们知道发现漏洞需要更长的时间--有鉴于此,我们非常高兴地宣布,我们将把奖励金额提高5倍。”
新的最高奖励金额为 "在我们最敏感的产品中发现 RCE,奖励金额为 101010 美元,如果报告质量优异,则奖励金额为 1.5 倍 = 151515 美元"。)
只有从今天(世界协调时 7 月 11 日 00:00)开始提交的漏洞报告才有资格使用新的奖励表获得奖励。
除了提供更高的报酬外,该公司最近还扩大了支付选项,包括通过 Bugcrowd 收取报酬的可能性。
谷歌 VRP 规则中更新的 "奖励金额 "部分提供了有关谷歌更改奖励金额和新支付结构的更多信息。
谷歌 VRP 的最新进展上周,谷歌推出了 kvmCTF,这是 2023 年 10 月宣布的一项新的 VRP,旨在提高基于内核的虚拟机(KVM)管理程序的安全性。kvmCTF 专注于 KVM 管理程序中的虚拟机可触及漏洞,并为完全虚拟机逃逸漏洞提供 25 万美元的悬赏金。
一年前,该公司还将 Chrome 浏览器沙箱逃逸链漏洞的奖励提高了两倍,直至 2023 年 12 月 1 日。
自 2010 年推出漏洞奖励计划(VRP)以来,谷歌已向报告了 15000 多个漏洞的安全研究人员支付了 5000 多万美元的赏金。
仅去年一年,谷歌就支付了1000万美元,其中最高的赏金支付给了一名赏金猎人,他获得了113,337美元。
有史以来最高的 VRP 赏金为 60.5 万美元,是 2022 年支付给 gzobqq 的,因为他报告了安卓漏洞链中的五个安全漏洞。同一位安全研究人员在 2021 年报告了另一个重要的安卓漏洞链,获得了 15.7 万美元的赏金。
参考来源:https://www.bleepingcomputer.com/news/security/google-increases-bug-bounty-rewards-five-times-up-to-151k/