在漏洞獎勵計畫實施14年後,要找到作業系統與應用程式安全弱點的難度也隨之增加,因此Google決定從產品重要性,以及研究人員提交的漏洞報告品質,來提高抓漏獎金額度
Google本周宣布,自2010年建立抓漏獎勵計畫(Vulnerability Reward Program,VRP)以來,由於Google的作業系統與應用程式因此而變得愈來愈安全,也愈來愈不容易抓漏,因而決定提高抓漏獎金,最高增幅達到5倍,而獎金最多的則是重要產品的遠端程式攻擊(RCE)漏洞,最高可獲得151,515美元。
除了提高原本的抓漏獎金之外,Google還將針對報告的品質祭出修正系數,倘若報告品質非常卓越(Exceptional Quality),那麼獎金額度將可乘以1.5,品質好(Good Quality)的是1倍,品質差(Low Quality)的是0.5倍。意謂著若提出安全漏洞的報告內容並未符合標準,獎金可能就會被砍半。
Google將安全漏洞依產品重要性,分為從Tier0(T0)到Tier4(T4)的5種等級,其中,T0指的是XSS或繞過身分驗證等、得以外洩使用者帳戶或於使用者系統上執行任意程式的安全漏洞,T1則是可揭露非常敏感之用戶資料的安全漏洞,而原本獎金最高的即是屬於T0/T1領域的命令注射、反序列化錯誤及沙箱逃逸等可自遠端執行程式的安全漏洞,價值31,337美元。
在新的規則中,此一T0/T1領域的遠端執行程式漏洞獎金提高至101,010美元,若所提交的報告達到卓越品質,獎金即上看151,515美元,接近原本的5倍。
此外,可接管Gmail帳戶的邏輯漏洞原本價值13,337美元,現在則提高到5萬美元,卓越報告可增至7.5萬美元;網路開發工作區IDX上的XSS漏洞獎金,也自原本的3,133.7美元提高至1萬美元,卓越報告則是1.5萬美元;Nest服務(home.nest.com)的身分揭露邏輯漏洞獎金,也從500美元提高至2,500美元,若屬於卓越報告則達3,570美元。
Google說,其實過去他們內部就有根據漏洞報告的品質來衡量獎金,只是現在將它們公開,並公布了漏洞與獎金的計算例子,以供安全研究人員參考,進一步透明化此一抓漏獎勵計畫。另也針對收購6個月之後的新資產導入新的獎勵等級。
近年來Google每年都頒發數百萬至上千萬的獎金予參與VRP的研究人員,2023年總計發出1,000萬美元的獎金予68個國家的逾600名研究人員,當中有340萬美元頒給了發現Android安全漏洞的研究人員,另有210萬美元是獎勵發現Chrome漏洞的研究人員。
