Google betaalde 3 miljoen dollar aan bugbeloningen

Het Vulnerability Research Grants programma keerde bijvoorbeeld totaal 125.000 dollar uit aan 50 onderzoekers wereldwijd. In het Patch Rewards Program werd totaal 50.000 dollar uitgekeerd aan beloningen. Google verhoogde vorig jaar het bedrag dat wordt uitgekeerd als hunters een remote kernel exploit vinden. Voorheen was de beloning 30.000 dollar, inmiddels is die 150.000 dollar.

Het hoogste bedrag dat vorig jaar werd uitgekeerd was 112.500 dollar. Dat bedrag betaalde Google aan een bughunter die een – dubbel - lek in Adroid had gevonden: Guang Gong, van het Alpha Team van Qihoo 360 Technology.

1000 lekken in Google-software

De beloningen zorgen er voor dat er veel lekken in de software van Google worden gevonden. Het bedrijf leidt de lijst van leveranciers waarvan lekken in software werden aangetroffen, ruim 1000 lekken werden gevonden in 2017 blijkt uit CVE-lijsten. Dat Google de lijst aanvoert wil niet per se zeggen dat de code van Google zo veel slechter is dan die van nummer 2 Oracle of van Microsoft (3). Het kan ook komen door de zeer populaire bug bounty-porgramma’s, wat de jacht op lekken in zijn software populair heeft gemaakt.

Deze programma’s worden steeds populairder. Uit een onderzoek van HackerOne onder 1700 beveiligingsonderzoekers blijkt dat een kwart op zijn minst de helft van zijn inkomen verdient met het vinden van lekken. Bijna 14 procent haalt bijna zijn totale jaarsalaris uit het jagen op bugs.