A Google tíz éve kezdett bele az úgynevezett Vulnerability Reward Program (VRP) kiterjesztésébe. Ennek keretében évről évre jelentős összegeket utal azoknak a szakembereknek, akik fontos biztonsági hibákra, sérülékenységekre mutatnak rá termékeiben. A tavalyi év minden eddiginél nagyobb pénzesőt hozott a bugvadászoknak - derül ki a cég beszámolójából.

Zajlott az élet, csörgött a kassza

2010-től kezdve eddig több mint 21 millió dollárt fordított ilyen célokra a keresőóriás. A tavalyi rekord aktivitást jól mutatja, hogy ennek nagyjából harmadát, egészen pontosan 6,5 millió dollárt fizettek ki csak 2019-ben. Ez az összeg egyébként a duplája az egy évvel korábban összejött mennyiségnek.

A kifizetett díjak változása az elmúlt években (millió USD)

A program bővülését természetesen az is segíti, hogy a cég egyre több és több területen van jelen különböző szolgáltatásokkal és megoldásokkal. A szélesebb portfólió pedig több lehetőséget ad a hibázásra, illetve ezek felfedezésére. A "vérdíjak" éves szummájának emelkedését nem csupán a lehetséges bugok elszaporodása fűti, hanem maga a Google is fokozatosan emeli a különböző kategóriákban kifizethető díjak szintjét.

Tavaly összesen 461 biztonsági szakembernek utalt a vállalat. Ezek közül a legnagyobb összeg, bő 200 ezer dollár egy Pixel 3-ban meglévő sebezhetőség felfedezéséért járt.

Mindenki jól jár

Az ilyen bugvadász programok egyáltalán nem ritkák a nagy cégek gyakorlatában, mivel méretükhöz és jelentőségükhöz képest ezek az összegek számukra kerekítési hibának is kevesek, ám a kutatókat kellően ösztönzi az önkéntes munkára. Egy-egy komolyabb hiba megfogásával a nagyvállalatok megúszhatják az ezek rosszindulatú kihasználásával együtt járó kiadásokat és - ami talán még fontosabb - renoméjuk csökkenését a fogyasztók szemében.

Ma már gyakorlatilag a Forbes 2000-es listán szereplő összes cég futtat valamiféle biztonsági hibák felfedezésére kihegyezett programot. Igaz, voltak olyanok is, akik elég későn álltak be a sorba. Miközben a Facebook már 2014-ben 1,3 millió dollárt költött ilyesmire, az Apple csak 2016 nyarán indította el saját programját. Igaz, ez utóbbi viszont rögtön impresszív maximum tételekkel nyitott. Ráadásul iOS-es sérülékenységekért más szervezetek is hajlandóak megdöbbentő összegeket fizetni.