Google將抓漏獎金提高為最多5倍

Google本周宣布，自2010年建立抓漏獎勵計畫（Vulnerability Reward Program，VRP）以來，由於Google的作業系統與應用程式因此而變得愈來愈安全，也愈來愈不容易抓漏，因而決定提高抓漏獎金，最高增幅達到5倍，而獎金最多的則是重要產品的遠端程式攻擊（RCE）漏洞，最高可獲得151,515美元。

除了提高原本的抓漏獎金之外，Google還將針對報告的品質祭出修正系數，倘若報告品質非常卓越（Exceptional Quality），那麼獎金額度將可乘以1.5，品質好（Good Quality）的是1倍，品質差（Low Quality）的是0.5倍。意謂著若提出安全漏洞的報告內容並未符合標準，獎金可能就會被砍半。

Google將安全漏洞依產品重要性，分為從Tier0（T0）到Tier4（T4）的5種等級，其中，T0指的是XSS或繞過身分驗證等、得以外洩使用者帳戶或於使用者系統上執行任意程式的安全漏洞，T1則是可揭露非常敏感之用戶資料的安全漏洞，而原本獎金最高的即是屬於T0/T1領域的命令注射、反序列化錯誤及沙箱逃逸等可自遠端執行程式的安全漏洞，價值31,337美元。

在新的規則中，此一T0/T1領域的遠端執行程式漏洞獎金提高至101,010美元，若所提交的報告達到卓越品質，獎金即上看151,515美元，接近原本的5倍。

此外，可接管Gmail帳戶的邏輯漏洞原本價值13,337美元，現在則提高到5萬美元，卓越報告可增至7.5萬美元；網路開發工作區IDX上的XSS漏洞獎金，也自原本的3,133.7美元提高至1萬美元，卓越報告則是1.5萬美元；Nest服務（home.nest.com）的身分揭露邏輯漏洞獎金，也從500美元提高至2,500美元，若屬於卓越報告則達3,570美元。

Google說，其實過去他們內部就有根據漏洞報告的品質來衡量獎金，只是現在將它們公開，並公布了漏洞與獎金的計算例子，以供安全研究人員參考，進一步透明化此一抓漏獎勵計畫。另也針對收購6個月之後的新資產導入新的獎勵等級。

近年來Google每年都頒發數百萬至上千萬的獎金予參與VRP的研究人員，2023年總計發出1,000萬美元的獎金予68個國家的逾600名研究人員，當中有340萬美元頒給了發現Android安全漏洞的研究人員，另有210萬美元是獎勵發現Chrome漏洞的研究人員。