Come Google ha spiegato all’inizio di questa settimana, cerca costantemente di migliorare la sicurezza su Android e altri prodotti. Sebbene l’azienda abbia un talentuoso team di sviluppatori che lavora per raggiungere questo obiettivo, bug e vulnerabilità inevitabilmente sfuggono alle fessure. È qui che entrano in gioco i Vulnerability Rewards Programs (VRP) dell’azienda, con l’azienda che paga ricompense ai ricercatori di sicurezza che rivelano responsabilmente problemi nei prodotti Google.
Il 2022 è stato finora l’anno di maggior successo dei programmi, con Google che ha pagato oltre $12 milioni su Android, Chrome e altro ancora.
In particolare, nel 2022 Google ha pagato:
- 4,8 milioni di dollari ai ricercatori di sicurezza che hanno trovato vulnerabilità in Android, incluso il rapporto più pagato nella storia del programma a 605.000 dollari.
- 4 milioni di dollari ai ricercatori di sicurezza che hanno trovato vulnerabilità, con la maggior parte destinata ai ricercatori di Chrome e circa $ 500.000 a coloro che hanno riscontrato problemi in ChromeOS.
- Il resto del denaro è stato pagato attraverso altri programmi dell’azienda, tra cui Google Play e il nuovo VRP Open Source dell’azienda, che ha lo scopo di offrire ricompense a coloro che riscontrano problemi nei progetti open source di Google.
Rispetto al 2021, lo scorso anno rappresenta un aumento, con la società che è passata da 8,7 milioni di dollari a 12 milioni di dollari di pagamenti. In parte, ciò è dovuto al fatto che l’azienda offre ulteriori incentivi e ha aggiunto altri dispositivi idonei al suo elenco, come i dispositivi Fitbit e Google Nest. Anche l’aggiunta del suo programma Open Source, menzionato in precedenza, ha sicuramente aiutato.
Quest’anno, nel 2023, l’azienda vuole offrire più esperimenti all’interno del programma Chrome. Dovrebbero esserci opportunità bonus e altri esperimenti per coloro che trovano bug e vulnerabilità in Chrome e ChromeOS. L’azienda ha anche aggiunto più di 20 video didattici per i ricercatori che desiderano divulgare problemi, rendendo il processo più semplice di quanto non fosse prima.
Anche se $ 12 milioni potrebbero sembrare un numero elevato, sono noccioline rispetto alle entrate di Google nel 2022 di circa $ 280 miliardi. L’investimento ha molto senso per l’azienda, poiché le vulnerabilità sfruttate attivamente rappresentano un rischio molto maggiore per i suoi profitti rispetto a qualsiasi programma di premi di questo tipo.
