Google tăng gấp 5 lần thù lao thưởng hacker phát hiện lỗi bảo mật trong dịch vụ của mình

Google vừa thông báo sẽ tăng gấp 5 lần khoản thanh toán cho các hacker tìm thấy lỗi/lỗ hổng tồn tại trong hệ thống cũng như ứng dụng của hãng, và được báo cáo thông qua chương trình phần thưởng phát hiện lỗ hổng bảo mật Vulnerability Reward Program. Mức thù lao tối đa mới là 151.515 USD cho một lỗ hổng bảo mật, tùy theo độ khó và mức độ nghiêm trọng.

Giải thích về quyết định này, Google cho biết: “Hệ thống của chúng tôi trở nên an toàn hơn theo thời gian. Chúng tôi biết rằng vẫn sẽ có lỗ hổng tồn tại, nhưng mất nhiều công sức hơn để tìm ra chúng. Do đó, việc nâng cao mức tiền thưởng sẽ là một sự khích lệ phù hợp cho các hacker”.

Mức phần thưởng cao nhất mới là "101.010 USD cho lỗ hổng nghiêm trọng như thực thi mã từ xa (RCE) trong các sản phẩm phổ biến của Google, với mức sửa đổi 1,5 lần được áp dụng cho chất lượng báo cáo đặc biệt, tương đương 151.515 USD)". Lưu ý rằng chỉ các báo cáo về lỗ hổng bảo mật được gửi bắt đầu từ ngày 11 tháng 7 mới đủ điều kiện được thanh toán theo mức thưởng mới.

Ngoài việc đưa ra các khoản thanh toán cao hơn, Google gần đây cũng đã mở rộng các tùy chọn thanh toán, bao gồm khả năng nhận thanh toán thông qua Bugcrowd. Phần Reward Amounts được cập nhật trong bộ quy tắc Google VRP sẽ cung cấp thêm thông tin về những thay đổi của Google đối với số tiền thưởng và cơ cấu thanh toán mới.

Tuần trước, Google đã ra mắt kvmCTF, một VRP mới được công bố vào tháng 10 năm 2023 nhằm cải thiện tính bảo mật của trình ảo hóa Kernel-based Virtual Machine (KVM). kvmCTF tập trung vào các lỗi có thể truy cập được VM trong bộ ảo hóa KVM, và treo giải thưởng 250.000 USD cho những trường hợp khai triệt để.

Năm ngoái, công ty cũng đã tăng gấp ba mức thưởng cho các trường hợp khai thác thành công chuỗi lỗ hổng Chrome sandbox cho đến ngày 1 tháng 12 năm 2023.

Kể từ khi Chương trình Phần thưởng phát hiện Lỗ hổng (Vulnerability Reward Program - VRP) được triển khai vào năm 2010, Google đã trả hơn 50 triệu USD tiền thưởng cho các nhà nghiên cứu bảo mật, tương ứng với hơn 15.000 lỗ hổng được báo cáo.

Chỉ riêng năm ngoái, Google đã trả 10 triệu USD, trong đó phần thưởng cao nhất được trao cho một trường hợp riêng lẻ là 113.337 USD.

Mức thưởng VRP cao nhất từ ​​trước đến nay là 605.000 USD, được trả cho nhà nghiên cứu bảo mật có nickname gzobqq vào năm 2022, với thành tích phát hiện một loạt năm lỗi bảo mật trong chuỗi khai thác Android. Cũng chính hacker này đã báo cáo một chuỗi khai thác Android quan trọng khác vào năm 2021, kiếm được khoản thưởng trị giá 157.000 USD.

Chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Đây là một kiểu hợp tác đôi bên cùng có lợi, không chỉ giúp thúc đẩy các cá nhân cũng như nhóm hacker không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen.

Nhìn chung, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.