Google pagou quase US$ 3 milhões aos “caçadores de bugs” em 2017

Recompensar “caçadores de bugs” tem sido uma boa maneira das grandes empresas encontrarem aquelas falhas que acabam passando pela revisão final dos desenvolvedores. E a Google é uma das companhias que mais investe nessa frente, com distribuição de quase US$ 3 milhões em 2017, via Vulnerability Reward Program (“Programa de Recompensas de Vulnerabilidades”).

Desse montante, US$ 1 milhão foi somente para os erros encontrados em seus principais produtos e outro US$ 1 milhão em torno do Android. O restante foi pago em premiações relativas ao Chrome. No ano passado participaram 274 pesquisadores de 60 países. As quantias variam de US$ 500 a US$ 100 mil ou até mais, dependendo da complexidade do caso.

A maior retribuição da temporada anterior foi dada a Guang Gong, que descobriu uma brecha nos telefones Pixel, em que era possível explorar o aparelho com execução de um código remoto. Esse relatório fez parte do programa de incentivo Android Security Rewards Program (“Programa de Recompensas de Segurança Android”). Com isso, o dispositivo não pôde ser invadido na última edição anual do Mobile pwn2own, competição hacker destinada a explorar softwares e hardwares.

Garimpo de bugs conta com um mercado próprio

Além da Google, diversas outras empresas e instituições utilizam recompensas para aprimorar a segurança de seus produtos, entre elas GM, Airbnb, Mastercard e até mesmo o Pentágono. Com esse mercado aquecido, há até mesmo iniciativas para que qualquer um possa criar seu próprio programa de premiação.

O Bugcrowd e o HackerOne são dois exemplos. O segundo, lançado em em 2012, já levantou quase US$ 75 milhões, dos quais US$ 40 milhões foram distribuídos somente no ano passado. Até agora, a Gigante das Buscas pagou cerca de US$ 12 milhões desde o início dessas atividades, em 2010.