Google ha speso 3 milioni di dollari per cercare bug

Google nel corso del 2016 ha ricompensato con 3 milioni di dollari gli utenti in grado di rilevare un bug o una vulnerabilità nell’ecosistema. Questi dati emergono grazie al resoconto pubblicato a conclusione dell’anno relativo al Vulnerability Rewards Program.

Si tratta di un programma di ricompense voluto dall’azienda di Mountain View a partire dal 2010. Tutti gli sviluppatori che trovano e comunicano a Google un bug o una vulnerabilità più o meno grave, vengono ricompensati con premi in denaro. I ricercatori che sono stati impegnati in questa attività nel solo 2016 sono stati più di 350 mentre i singoli sviluppatori superano i 1000.

Queste cifre dimostrano il crescente interesse verso questo programma, infatti l’anno scorso i numeri degli sviluppatori individuali erano decisamente inferiori. Anche l’ammontare pagato lo scorso anno da Google era inferiore di un milione rispetto ai 3 milioni di dollari del 2016. Considerando che a partire dal 2010 la società ha pagato complessivamente una cifra pari a 9 milioni di dollari, si tratta di un’attività molto redditizia.

Secondo i dati emersi, i software più vulnerabili sono Android e Chrome. Infatti entrambi i servizi hanno generato delle ricompense totali pari a circa 1 milione di dollari ciascuno. La singola vulnerabilità che ha fruttato di più, ha permesso al fortunato sviluppatore che l’ha scoperta di intascare 100.000 dollari.

Considerando che questa ricerca permette a Google di risolvere anche pericolosi bug, il Vulnerability Rewards Program è stato esteso ad altri servizi. Il Fuzzer Program di Chrome prima accessibile solo su invito, ora è aperto al pubblico. Anche il supporto alla piattaforma Android è stato esteso con l’introduzione dei prodotti OnHub e i dispositivi Nest. È anche cresciuta la presenza durante gli eventi hackathon in giro per il mondo come pwn2own e Pwnfest. Grazie a questi eventi, il team di sicurezza è stato in grado di chiudere le falle pochi giorni dopo la segnalazione.