Google去年共發出290萬美元漏洞挖掘獎金 360團隊獲最高額獎金

Google於本周公布了2017年漏洞挖掘獎勵項目（Vulnerability Reward Program）的成果，指出去年總計有來自全球60個國家的274名安全研究人員拿下1,230個獎項，頒發了290萬美元的獎金。同一天也宣布擴大Google Play的漏洞挖掘獎勵範疇。

根據Google的統計，去年不論是發現Google產品或Android漏洞的研究人員都獲得了超過100萬美元的獎金，針對Chrome漏洞所頒發的獎金較少，總計支付了290萬美元的獎金，其中有逾16萬美元捐給了慈善機構。

除了著墨於Google產品之外，Google還另外設立了漏洞研究補助金（Vulnerability Research Grant，VRG），以及用來改善開源碼安全性的修補程序獎勵計劃（Patch Reward Program），去年有逾50名研究人員領走了12.5萬美元的VRG補助金，開源社區則領走了5萬美元的修補獎金。

去年一次拿下11.25萬最高額獎金的是奇虎360團隊的Guang Gong，Gong利用Chrome上的CVE-2017-5116與Android上的CVE-2017-14904安全漏洞攻陷了Google自行設計與開發的Pixel手機，由於Pixel為去年pwn2own行動黑客競賽中唯一未被破解的設備，更彰顯出Gong的實力。

另一化名為gzobqq的研究人員也因找到橫跨5個組件的多個Chrome OS漏洞，而獲頒10萬美元獎金。

有鑒於已經有兩年沒人領走Android開採鏈的最高獎金，使得Google決定把獎項從5萬美元提高到20萬美元，同時也將Android的遠程內核攻擊的最高獎項從3萬美元增加到15萬美元。

至於去年新設的Google Play安全獎勵計劃（Google Play Security Reward Program）則是用來鼓勵研究人員查探Google Play上熱門程序的安全性，本周Google把遠程程序攻擊的獎金從1000美元提高到5000美元，也額外針對可外泄用戶數據的安全漏洞祭出1000美元的獎金。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！