Het Google Bounty-programma dat is bedoeld om vinders van kwetsbaarheden een financiële vergoeding te geven, kende in 2019 een recorduitgave. Met ruim 6,5 miljoen dollar (5,9 miljoen euro) aan uitbetalingen, moest Google twee keer zoveel neerleggen in vergelijking met 2018.
Met het Google Vulnerability Reward Program (VRP) maakte Google het tien jaar geleden mogelijk voor experts om geld te verdienen aan het opsporen van kwetsbaarheden zodat Google die kan patchen. De vergoeding zou moeten voorkomen dat kwaadwillende partijen een kwetsbaarheid vinden om daar vervolgens misbruik van te maken.
In die tien jaar tijd keerde Google al zo’n 21 miljoen dollar uit, met ruim een kwart daarvan in heel 2019. 461 onderzoekers werden betaald voor het vinden van kwetsbaarheden, met de grootste uitbetaling aan Guang Gong van Alpha Lab. De expert vond een kwetsbaarheid in de Pixel 3 en kreeg voor het aankaarten van dat probleem maar liefst 200.000 dollar. Het grootste deel kwam van het Android Security Reward programma (ruim honderdzestigduizend dollar), 40.000 dollar kwam van het Chrome Rewards Programma.
Extra motivatie voor experts vanaf 2020
Het bedrag van 200.000 dollar is niet mis, Google zal er nog een schepje bovenop doen. Onderzoekers die een kwetsbaarheid vinden waarmee de Titan M security chip omzeild kan worden, kunnen maar liefst een miljoen dollar verwachten. Wie in de preview versies (voor developers) van Android kwetsbaarheden vindt, kan rekenen op een bonus van 50 procent. Vind je dus een Titan M kwetsbaarheid in de preview build van het OS, dan kan je dat een aanzienlijke 1,5 miljoen dollar opleveren.
De reden voor een extra hoge beloning voor het vinden van kwetsbaarheden in de Titan M chip is niet vreemd. Aangezien de chip in 2019 werd aangemerkt als sterkste geïntegreerde beveiligingsmethode, is het voor Google uitermate belangrijk om die titel te behouden.