Google recompensó a investigadores de todo el mundo con una generosa suma de 10 millones de dólares en 2023 por su arduo trabajo en descubrir y reportar problemas de seguridad en sus productos y servicios.
El año pasado, 632 investigadores de 68 países diferentes fueron premiados, aunque la cantidad total fue un poco menor en comparación con el año anterior.
Aun así, la recompensa más alta alcanzó la increíble suma de 113.337 dólares, lo que demuestra el valor que Google atribuye a las contribuciones de estos expertos.
Una de las principales novedades en 2023 fue la inclusión de inteligencia artificial generativa en el Programa de Recompensa por Vulnerabilidades (VRP).
Google organizó un evento de hacking en vivo, centrado en grandes modelos de lenguaje, donde los investigadores intentaron extraer información importante de Bard, ahora conocido como Gemini, alimentándolo con comandos específicos.
Este enfoque innovador resultó en 35 informes valiosos, con recompensas que superaron los 87.000 dólares.
Además, Google amplió su programa de recompensas para cubrir Android y sus propios dispositivos. Con un total de 3,4 millones de dólares en premios, la empresa aumentó el valor máximo pagado por vulnerabilidades críticas en esta categoría a 15.000 dólares.
La gigante de Mountain View también extendió el programa de recompensas para incluir Wear OS, incentivando a los investigadores de seguridad a identificar y reportar errores y vulnerabilidades en la plataforma de dispositivos portátiles.
Con 70.000 dólares otorgados por 20 hallazgos críticos en Wear OS y Android Automotive OS, incluidos 116.000 dólares por 50 errores sobre problemas encontrados en Nest, Fitbit y dispositivos portátiles.
Los investigadores de Google Chrome también obtuvieron una parte del pago, recaudando 2,1 millones de dólares por 359 informes exclusivos. Abordaron algunos problemas de larga data con la codificación V8 que habían pasado desapercibidos anteriormente.
Otro punto destacado es la introducción del MiraclePtr en Chrome M116, con el objetivo de proteger contra las vulnerabilidades UAF Use-After-Free no renderizadoras.
Después de que estas fallas fueran consideradas «altamente mitigadas» con la introducción del MiraclePtr, Google lanzó una clase separada de recompensas específicamente para eludir el propio mecanismo de protección.