У 2019 році Google розширила дію програми з виплати винагород за знайдені вразливості в продуктах компанії і не тільки. Загалом у 2019 році незалежні дослідники отримали від Google $6,5 млн премій.
Важливо відзначити, що в самій Google також працюють фахівці з безпеки, які займаються тим же самим, але переважно за зарплату. Але оскільки обійняти неосяжне не можна, допомога спільноти заповнює брак власних сил і засобів компанії. Можливо, про що ми можемо тільки здогадуватися, фахівці з безпеки Google по-своєму висловили подяку суспільству, пожертвувавши в 2019 році зі своїх коштів на благодійність рекордну суму в $500 000.
Програма Google Vulnerability Reward Programs (VRP) працює з 2010 року. Поступово вона охопила виплати за знайдені вразливості в Chrome, Android і, зовсім недавно, Abuse. Також Google почала виплачувати винагороди за знайдені вразливості в сторонніх додатках в Google Play, якщо число установок таких перевищує 100 млн. У другій половині 2019 року виплати за цією програмою склали $650 000. Всього за 9 років роботи програми VRP компанія виплатила $21 млн премій.
Максимальні базові ставки по виплатах за знайдені уразливості в Chrome збільшилися в 2019 році в три рази з $5000 до $15 000. Максимальні виплати за винагородами за звіти «вищої якості» подвоїлися: з $15 000 до $30 000. Подвоївся і додатковий бонус за помилки, виявлені так званими фаззерами (fuzzers) ― до $1000. За це відповідає програма Chrome Fuzzer.
Про збільшення виплат за програмою Android Security Rewards ми повідомляли раніше. Головний приз зараз становить $1 млн за експлоїт з повним ланцюжком виконання віддаленого коду, який ставить під загрозу чіп безпеки Titan M на пристроях Google Pixel. Якщо вразливість виявлена до релізу нової версії збірки Android, то нагорода зросте до $1,5 млн.
Нарешті, в середині 2019 року була запущена програма виплат винагород Developer Data Protection Reward Program за знайдені випадки зловживання користувальницькими даними в Android, проектах OAuth і в розширеннях Chrome. Тим самим Google намагається скоротити кількість скандалів, пов'язаних з випадками продажів даних користувачів.
