Google paga 8.7 millones de dólares en recompensas en 2021

 Una forma de recompensar el tiempo y el esfuerzo de los hackers que invierten su tiempo y su conocimiento en eliminar vulnerabilidades en herramientas, productos, servicios y plataformas de empresas. Y ahora Google ha publicado los datos de lo que se ha gastado en pagar a los Bug Hunters este año pasado 20221, que ha sido un total de 8.7 Millones de USD, lo que supone un poco más de 2 Millones de USD de lo que pagó el año 2020. Por fallos que han sido principalmente en Android, Chrome y Play. 

En el caso del programa de recompensas por bugs de Android, han sido casi 3 Millones de USD en recompensas, de las que la más grande ha sido de 157.000 USD, repartidos todo el dinero entregado entre 119 Security Researchers que reportaron sus vulnerabilidades a, equipo de Google.

Google Chrome ha premiado a 115 Security Researchers, por una cantidad un poco mayor, llegando a los 3,2 Millones de USD, pero el premio mayor fue "sólo" de 45.000 USD. Muchos de ellos de saltarse medidas de seguridad del navegador, como las que hemos visto durante muchos años, pero con algunos muy especiales como el CVE-2021-21225 del hacker Brendon Tiszka o el reportado por Rory Mcnamara que podía abrir el camino a un control completo de Chrome en Android. Y el número total de bugs descubiertos por los investigadores ha sido de 333 en 2021, superando los 300 bugs reportados en 2020 para Google Chrome.

En Google Play las recompensas fueron de 500.000 USD, que sumadas a otros programas de Bug Bounty de Google, hacen que se alcancen esos 8.7 Millones de USD de los que habla el informe que han publicado en el blog de seguridad de Google. Al final, han sido 696 Bug Hunters de 62 países que han descubierto  y reportado fallos a través del portal de reporte de vulnerabilidades en Google.

Como os podéis imaginar, cada vez encontrar y reportar una vulnerabilidad es una competencia mayor por la calidad profesional de los Security Researchers, pero esto es algo por lo que la comunidad hacker llevaba muchos años reclamando. Que los investigadores fueran recompensados por hacer Responsible Disclosure de los bugs que ellos han descubiertos, que al final hacen que los usuarios estén más protegidos, y que las empresas tengan una mejor tecnología.

Fuentes:

https://security.googleblog.com/2022/02/vulnerability-reward-program-2021-year.html

https://www.elladodelmal.com/2022/02/google-pago-87-millones-de-dolares-en.html