A través del programa de recompensas Vulnerability Reward (VRP), Google pagará a aquellos investigadores y expertos que encuentren vulnerabilidades en sus proyectos Open Source (Google OSS).
El principal objetivo con el que la compañía ha puesto en marcha este programa de ‘bug bounty’, esto es, recompensa por detectar errores, es mejorar la seguridad de sus proyectos de código abierto.
A través de Vulnerability Reward, Google quiere impulsar que los expertos investiguen la posibilidad de que haya vulnerabilidades y bugs que puedan afectar a su ecosistema de software de código abierto.
De esta forma, el programa comprende todas las últimas versiones de software de código abierto disponibles en repositorios públicos en cuentas de GitHub, perteneciente a Google, así como en otros alojados en otras plataformas.
No obstante, también se pueden reportar vulnerabilidades en dependencias de terceras partes. En estos casos, primero hay que informar del fallo al desarrollador del paquete vulnerable. Una vez realizado, ha que asegurarse de que el fallo se ha corregido antes de comunicarlo.
El programa contempla que las recompensas más altas se destinen a las vulnerabilidades que se detecten en los proyectos Open Source más importantes, como Golang, Angular, Bazel, Protocol buffers o Fuchsia.
Google insiste en la importancia de «consultar las reglas del programa antes de comenzar para obtener más información sobre los proyectos y las vulnerabilidades».
Los pagos más elevados serán para aquellos que reporten fallos que puedan afectar a la cadena de suministro. Si, además, se circunscriben dentro de aquellos proyectos considerados más importantes, las recompensas podrían ir desde los 3.133 dólares, hasta los 31.337.
Por otra parte, si la vulnerabilidad que se detecta en un proyecto Open Source estándar, el pago que Google haría al ‘descubridor’ oscilaría entre los 1.337 dólares y los 13.337.
La seguridad, en el punto de mira de Google
La seguridad es un aspecto crítico para Google, que tan salpicada se ha visto en los últimos meses con los problemas que ha tenido respecto a las vulnerabilidades detectadas en aplicaciones de su Play Store.
Por eso, la compañía también va a poner el foco en la detección de vulnerabilidades que afectan a productos. Aquí entrarían aquellos fallos que puedan afectar a la confidencialidad e integridad de los datos de personas y que se detecten en productos basados en sus proyectos de código abierto.
Junto a estas dos categorías, el programa contempla una tercera para otros fallos de seguridad. En ella entrarían aquellos relacionados con contraseñas débiles en sistemas de terceros, la filtración de credenciales en backups almacenados de forma pública o instalaciones inseguras.
Los investigadores y expertos que detecten este tipo de vulnerabilidades serán recompensados con 1.000 dólares, en el caso de los proyectos importantes, o 500 dólares en el caso de los proyectos estándar.
Junto a lo suculento de estas cantidades, Google añade que, aquellos que las detecten, pueden recibir un reconocimiento público por su contribución.
No obstante, para aquellos que, pese a detectar y comunicar estas vulnerabilidades, no estén interesados en recibir su recompensa, Google ofrece la posibilidad de donarlo. En ese caso, la compañía duplicaría la cantidad de la aportación para la organización elegida.
En el caso de aquellas vulnerabilidades que se reporten y cuya recompensa no se reclame, también se donará a una organización de caridad una vez pasen 12 meses.
Apoyo a los investigadores y expertos
Esta iniciativa no ni mucho menos la primera de este tipo que lleva a cabo Google. El pasado mes de febrero, la compañía casi duplicó las recompensas por vulnerabilidades de Día Cero y por la explotación de errores del kernel de Linux, Kubernetes, Google Kubernetes Engine (GKE) o kCTF utilizando técnicas de explotación únicas.
Dos meses después, en abril, anunció que los fallos que se detectaran en Android 13, y que se reportarán a través de su VRP, obtendrían una bonificación del 50%. Una cantidad que se sumaba a la recompensa estándar que había hasta el 26 de mayo de 2022.
Google ofrecía así un pago máximo de 1,5 millones de dólares por la ejecución remota completa del código.
Desde el lanzamiento de su primer programa de recompensas en 2010, la compañía ha pagado con más de 38 millones de dólares a miles de investigadores de seguridad de más de 84 países por reportar más de 13.000 errores.
El pasado año 2021 alcanzó el récord de 8,7 millones de dólares en recompensas pagadas, incluyendo los 157.000 dólares por una cadena de explotación de Android.
