Google Pays IDR 115 Billion to Bug Hunters
-- Google awarded US$10 million (around Rp. 115.73 billion) in prizes to 632 researchers from 68 countries last year. Google awards the prizes because researchers find and report security flaws in the company's products and services.
This amount is actually still smaller than the Google Vulnerability Reward Program in 2022 worth US$12 million. However, this number is still significant, indicating a fairly high level of public participation in Google's security efforts.
Since this program was launched in 2010, Google has awarded prizes amounting to US$59 million (around Rp. 920 billion).
For Android, the world's most popular and widely used mobile operating system, the program awards more than US$3.4 million in prizes.
According to Bleeping Computer, Google also increased the maximum reward amount for critical Android-related vulnerabilities to US$15,000, which prompted an increase in community reports.
During security conferences such as ESCAL8 and hardwea.io, Google awarded US$70,000 for 20 critical discoveries in Wear OS and Android Automotive OS and another US$116,000 for 50 reports of issues in Nest, Fitbit, and Wearables.
Google's other big software project, the Chrome browser, was the subject of 359 security bug reports that paid out a total of $2.1 million (around IDR 32.7 billion).
On June 1, 2023, the company announced it would double bounty payouts for sandbox escape chain exploits targeting Chrome through December 1, 2023.
The program also increased bounties for bugs in older versions of V8 (before M105), Chrome's JavaScript engine, leading to significant discoveries and rewards such as a $30,000 bounty for a long-standing V8 JIT optimization bug (since M91).
Google also provides prizes for researchers who succeed in finding security holes in generative AI products such as Google Bard. There are at least 35 researchers reporting bugSWAT live hacking events resulting in payouts of US$87,000.
Apart from the rewards themselves, the bug bounty program has several key developments and improvements during 2023, among them the introduction of the Bonus Awards program, which offers extra rewards for certain targets.
Later, the expansion of the exploit bounty program to include Chrome and Cloud, was marked by the launch of v8CTF, which focuses on Chrome's V8 JavaScript engine.
As well as the launch of Mobile VRP for first-party Android applications, the launch of a blog page, Bughunters, to share insights and security measures for the internet, and the hosting of the ESCAL8 security conference in Tokyo, featuring live hacking events, workshops and discussions.
Google Bayar Rp115 Miliar Buat Pemburu Bug
-- Google memberikan hadiah sebesar US$10 juta (sekitar Rp115,73 miliar) kepada 632 peneliti dari 68 negara pada tahun lalu. Google memberikan hadiah tersebut karena para peneliti berhasil menemukan dan melaporkan celah keamanan pada produk dan layanan perusahaan.
Jumlah tersebut sebetulnya masih lebih kecil dari Google Vulnerability Reward Program pada tahun 2022 senilai US$12 juta. Namun, jumlah ini masih signifikan, menunjukkan tingkat partisipasi masyarakat cukup tinggi dalam upaya keamanan Google.
Sejak program ini meluncur pada 2010, Google terhitung telah mengeluarkan hadiah sejumlah US$59 juta (sekitar Rp920 miliar).
Untuk Android, sistem operasi seluler paling populer dan banyak digunakan di dunia, program ini memberikan hadiah lebih dari US$3,4 juta.
Melansir Bleeping Computer, Google juga meningkatkan jumlah hadiah maksimum untuk kerentanan penting terkait Android menjadi US$15,000, yang mendorong peningkatan laporan komunitas.
Selama konferensi keamanan seperti ESCAL8 dan hardwea.io, Google memberikan US$70.000 untuk 20 penemuan penting di Wear OS dan Android Automotive OS dan US$116.000 lainnya untuk 50 laporan mengenai masalah di Nest, Fitbit, dan Wearables.
Proyek perangkat lunak besar Google lainnya, browser Chrome, merupakan subjek dari 359 laporan bug keamanan yang membayar total $2,1 juta (sekitar Rp32,7 miliar).
Pada 1 Juni 2023, perusahaan mengumumkan akan melipatgandakan pembayaran hadiah untuk eksploitasi rantai pelarian sandbox yang menargetkan Chrome hingga 1 Desember 2023.
Program ini juga meningkatkan hadiah untuk bug di versi V8 yang lebih lama (sebelum M105), mesin JavaScript Chrome, yang mengarah pada penemuan dan hadiah yang signifikan seperti hadiah $30.000 untuk bug pengoptimalan V8 JIT yang sudah ada sejak lama (sejak M91).
Google juga memberikan hadiah bagi peneliti yang berhasil menemukan celah keamanan pada produk AI generatif seperti Google Bard. Setidaknya ada 35 laporan peneliti dalam acara peretasan langsung bugSWAT yang menghasilkan pembayaran sebesar US$87,000.
Terlepas dari hadiah itu sendiri, program bug bounty memiliki beberapa perkembangan dan peningkatan utama selama tahun 2023, di antaranya pengenalan program Bonus Awards, yang menawarkan hadiah ekstra untuk target tertentu.
Kemudian, perluasan program hadiah eksploitasi untuk menyertakan Chrome dan Cloud, yang ditandai dengan peluncuran v8CTF, yang berfokus pada mesin JavaScript V8 Chrome.
Serta peresmian Mobile VRP untuk aplikasi Android pihak pertama, peluncuran laman blog, Bughunters, untuk berbagi wawasan dan langkah-langkah keamanan untuk internet, hingga penyelenggaraan konferensi keamanan ESCAL8 di Tokyo, yang menampilkan acara peretasan langsung, lokakarya, dan diskusi.
Post a Comment