Google pagou mais de US$ 6 milhões pela descoberta de brechas em seus produtos

O Google pagou mais de US$ 6,5 milhões a especialistas em segurança e desenvolvedores de software pela descoberta de falhas em seus produtos e dispositivos. O valor, parte do Programa de Recompensas por Vulnerabilidade (VRP, na sigla em inglês), representa quase duas vezes o total de US$ 3,4 milhões concedido pela empresa aos pesquisadores em 2018, quando anunciou recorde em pagamentos dessa categoria.

No ano passado, o maior prêmio único foi pago ao especialista Guang Gong, da Alpha Labs, que descobriu uma falha crítica que colocaria em risco os dados pessoais de usuários do smartphone Pixel 3. Pela gravidade da brecha, ele recebeu US$ 201,3 mil, também uma das maiores quantias já entregues pelo Google na história do programa. Ao todo, 461 especialistas foram recompensados em 2019.

A empresa celebrou o sucesso de sua empreitada e, também, das mudanças recentes, voltadas para trazer mais segurança, principalmente, ao ecossistema de aplicativos para o Android. 2019 foi o primeiro ano em que qualquer app com mais de 100 milhões de instalações poderia ser avaliado para o recebimento de recompensas — antes, apenas os oito mais baixados da Play Store recebiam esse tratamento. A nova regra levou a um total de US$ 650 mil pagos somente por esse caminho e apenas no segundo semestre.

O maior número de recompensas veio, mais uma vez, dos aplicativos e soluções web do próprio Google, com US$ 2,1 milhões em recompensas. O Android aparece em um segundo lugar bem próximo, com US$ 1,9 milhão, e é seguido pelo Chrome, com US$ 1 milhão. A loja online Google Play, juntamente com os já citados pagamentos por brechas em aplicativos, completa a lista com US$ 800 mil pagos.

O Programa de Recompensas por Vulnerabilidade do Google existe desde 2010 e, ao longo dos últimos nove anos, já pagou mais de US$ 21 milhões a pesquisadores e desenvolvedores. A ideia é incentivar especialistas a analisarem as soluções da empresa em busca de falhas que seriam reportadas a ela em troca de pagamento, em vez de exploradas maliciosamente ou vendidas a quem tem exatamente essa intenção.

Os valores variam de acordo com a categoria da exploração e, também, a qualidade dos relatórios entregues pelos desenvolvedores. Brechas simples no browser Chrome, por exemplo, podem garantir valores de US$ 1 mil, enquanto a mão de todas as falhas, a exploração de código remoto persistente em aparelhos da linha Pixel, pode entregar até US$ 1 milhão ao responsável pela descoberta.

Além disso, a gigante destaca que seu programa de caça a bugs também atrai novos talentos para o mercado de tecnologia, uma vez que ele está aberto a qualquer um que consiga comprovar a descoberta de uma brecha em um de seus sistemas. Com isso, as recompensas não ficam restritas apenas a figurões do setor ou empresas especializadas, enquanto, ao mesmo tempo, as soluções da companhia e de seus parceiros passam por escrutínio constante, de uma forma que ela própria jamais seria capaz de fazer.

Fonte: Google Online Security Blog