Google pagou US$ 27,3 milhões de recompensas a especialistas que relataram falhas em 2019

Valor recorde é duas vezes maior que a cifra de 2018 e também contempla vulnerabilidades no Chrome e aplicativos para Android. Google recompensa quem relata falha em seus produtos. No Android, prêmio pode passar de R$ 6 milhões.
Altieres Rohr/G1
O Google publicou um balanço dos pagamentos do seu programa de recompensa de vulnerabilidades (VRP, na sigla em inglês) para o ano de 2019. Os números indicam que a empresa pagou US$ 6,5 milhões (cerca de R$ 27,3 milhões) a 461 pesquisadores de segurança que relataram vulnerabilidades inéditas em produtos web do Google, no Chrome e no Android.
O programa de recompensas oferece pagamentos em dinheiro para quem descobre vulnerabilidades em produtos do Google e as comunica à empresa de forma particular.
Não é permitido publicar os detalhes técnicos da falha encontrada e o relato deve atender a certas exigências.
Embora o Google estabeleça as regras de participação e o teto para cada tipo de falha, o valor final é definido por um painel de colaboradores da companhia.
O número de pesquisadores participantes aumentou 45% em relação a 2018, mas o montante pago é duas vezes maior. A ampliação dos tetos de pagamento e a inclusão de novas categorias de recompensas contribuíram com o aumento de participantes.
Em 2019, o programa que recompensa brechas no Android passou a ter um teto de US$ 1,5 milhão (cerca de R$ 6,3 milhões). Essa recompensa exige que seja demonstrado um ataque prático, com a exploração de quantas brechas forem necessárias para invadir um smartphone Pixel (do Google) sem acesso físico ao aparelho. O ataque ainda precisa quebrar a segurança do chip Titan (também do Google) e funcionar em uma versão de testes do Android.
Para falhas no Chrome, o teto das recompensas base e de alta qualidade dobraram para US$ 15 mil e US$ 30 mil (cerca de R$ 63 mil e R$ 126 mil), respectivamente.
Outra mudança nas regras no ano de 2019 levou o programa a contemplar vulnerabilidades em todos os aplicativos para Android, de qualquer desenvolvedor, com mais de 100 milhões de downloads na Play Store. Antes, o Google só pagava por falhas em apps próprios e em alguns produtos de terceiros definidos pelo programa.
Essa novidade foi anunciada em agosto de 2019 e levou ao pagamento de US$ 650 mil (cerca de R$ 2,7 milhões) em recompensas na segunda metade do ano.
O programa de recompensas do Google foi criado em 2010. Desde então, segundo a empresa, já foram pagos US$ 21 milhões (cerca de R$ 88 milhões).
Recompensa de US$ 201 mil
Apesar da possibilidade de faturar US$ 1,5 milhão com um ataque completo contra o Android, nenhum especialista conseguiu realizar essa façanha. A maior recompensa paga pelo Google foi de US$ 201 mil.
A empresa não deu detalhes a respeito da brecha que mereceu essa recompensa. Em geral, um pagamento alto indica uma falha grave ou complexa. Mas a qualidade do relato – se o especialista forneceu um cenário de exploração e sugestões para corrigir a falha, por exemplo – também ajudam a elevar a quantia.
Recorde de doações
Quando um pesquisador decide não receber a recompensa – seja porque está impedido de recebê-la ou outra razão —, o Google oferece a possibilidade de doar o valor para uma instituição de caridade.
O total doado em 2019 foi de US$ 507 mil, estabelecendo um recorde cinco vezes maior que o anterior.
O encaminhamento da recompensa para instituições de caridade é comum, por exemplo, quando o especialista encontrou a brecha como parte do seu trabalho de pesquisa em outra empresa ou organização e não como profissional independente.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com