703名白帽子,2022年共提交2900个有效漏洞报告,斩获超8000万元奖金,平均每人可领取约18万元。
安全内参3月2日消息,过去一年,谷歌通过漏洞奖励计划支付了公司史上最高的总奖金金额,并对单个关键漏洞利用链奖励60.5万美元,打破单笔奖金纪录。2022年全年,安全研究人员发现和上报的谷歌产品漏洞超过2900个,搜索巨头总计为此向703位研究人员支付了超1200万美元(约合人民币8200万元)。图:2022年谷歌支付的漏洞奖金总额跃升至1200万美元
Android 单个漏洞奖金创纪录
谷歌发布了2022年漏洞奖励计划(VRP)的相关统计数据,概括了安全研究社区为提高谷歌产品安全性做出的贡献。其中最大一笔奖金来自gzobqq提交的报告,详细介绍了一组Android漏洞利用链(CVE-2022-20427、CVE-2022-20428、CVE-2022-20454、CVE-2022-20459、CVE-2022-20460),总额达60.5万美元(约合人民币410万元)。2021年,gzobqq还发现并上报了Android中的另一条关键漏洞利用链,拿下15.7万美元,创造了当年的Android漏洞奖励计划的奖金纪录。一般来说,通过谷歌漏洞奖金计划提交的Android 漏洞奖金不会超过1万美元。但对于漏洞利用链,谷歌设定的奖金上限则高达100万美元。2022年,谷歌为700余个Android漏洞支付了480万美元奖金。做出突出贡献的各主要漏洞研究人员包括:
- 安全厂商Bugsmirror的Aman Pandey,超过200个bug;
- OPPO安珀安全实验室的韩子诺,—150个bug;
- 林禹成,近100个bug。
去年,谷歌还组织了仅限受邀人士参加的Android芯片组安全奖励计划(ACSRP),共发现700份安全报告并发放48.6万美元奖金。这是一项由谷歌及Android芯片组制造商合作设立的内部奖励计划。
Chrome与开源软件漏洞赏金
2022年,谷歌还为Chrome浏览器中的363个漏洞和ChromeOS中的110个安全缺陷支付了总计400万美元。谷歌宣布,今年Chrome 漏洞奖励计划也将开始试运行,希望为浏览器和ChromeOS的安全问题上报注入更多活力。2022年8月推出的开源产品漏洞奖励计划,迄今已向100多位研究人员发放了超11万美元奖金。除了根据发现和上报的漏洞支付奖金之外,谷歌还向170多名研究人员提供了超25万美元的赠款。尽管没有发现任何漏洞,但谷歌仍感谢这些个人对于谷歌产品和服务的持续关注和研究。谷歌还成为了NahamCon和BountyCon等安全会议的赞助商。