2022年,谷歌發(fā)了1200 萬美元的漏洞賞金

發(fā)布時間 2023-02-23

2022 年,谷歌通過漏洞獎勵計劃支付了有史以來最高的漏洞獎金,為安全研究人員報告的 2900 多個漏洞,支付超 1200 萬美元。


安卓漏洞賞金計劃


近期,谷歌發(fā)布了漏洞獎勵計劃(VRPs)的統(tǒng)計數(shù)據(jù),詳細(xì)概述了安全研究人員如何發(fā)現(xiàn)公司產(chǎn)品中安全漏洞以及獲得的漏洞賞金數(shù)額。


資料顯示,最大單筆報酬發(fā)給了 gzobqq ,其在提交的報告中詳細(xì)說明了安卓系統(tǒng)中五個漏洞(CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460)的利用鏈,一共獲得了 60.5 萬美元的獎勵。


值得一提的是,2021年,gzobqq 發(fā)現(xiàn)并報告了安卓系統(tǒng)中的另一個關(guān)鍵漏洞鏈,獲得了 15.7 萬美元的獎勵,該金額是當(dāng)時安卓系統(tǒng) VRP 歷史上最高的漏洞賞金。通常情況下,通過谷歌 VRP 提交安卓漏洞的賞金最高為 1 萬美元,但對于漏洞鏈,提供者最高可獲得的賞金高達(dá) 100 萬美元。


2022 年,谷歌還通過其與安卓芯片組制造商合作提供的私人獎勵計劃 ACSRP,為 700 份漏洞安全報告提供了 48.6 萬美元的獎勵。


Chrome 和 OSS 的獎勵


2022 年,谷歌公司還為 Chrome 瀏覽器中的 363 個漏洞和 ChromeOS 中的 110 個安全漏洞支付了總計 400 萬美元的賞金。除了向研究人員發(fā)放獎金外,谷歌還向 170 多名研究人員發(fā)放了超過 25 萬美元的贈款。這些資金用于關(guān)注谷歌產(chǎn)品和服務(wù)的個人研究員,即使他們沒有發(fā)現(xiàn)任何漏洞。


2022 年,谷歌為通過漏洞獎勵計劃提交的報告支付了 703 名研究人員的費(fèi)用,并成為 NahamCon 和 BountyCon 安全相關(guān)會議的贊助商。