Google a dévoilé récemment les noms des lauréats de son Google Cloud VRP Prize.

6 chercheurs en sécurité se sont partagés plus de 313 337 $ de primes de chasse aux bugs.

Yuval Avrahami a remporté les premier et cinquème prix.

Le chercheur a ainsi reçu 133 337 $ pour avoir découvert et signalé une faille exposant Google Kubernetes Engine (GKE) Autopilot aux attaques par élévation de privilèges.

Yuval Avrahami a également obtenu, avec Shaul Ben Hai, un autre chercheur formé chez Palo Alto Networks, 17 311 $ pour avoir documenté une élévation de privilèges associés à Kubernetes.

Un autre duo de chercheurs – Sivanesh Ashok et Sreeram KL – ont remporté les deuxième, troisième et quatrième prix . Le duo de chercheurs a remporté 73 331 $ pour son rapport de sécurité sur une faille exposant Google Compute Engine à une attaque par injection (SSH Key Injection on GCE).

Les chercheurs ont également obtenu 31 337 $ pour leurs travaux sur le potentiel contournement des autorisations dans Google Cloud Workstation. Ils ont enfin reçu 31 311 $ pour leur analyse concernant des requêtes falsifiées côté serveur (SSRF) exposant des projets Google Cloud.

Le 6e prix est revenu à un chercheur nommé Obmi. 13 373 $ lui ont été versés pour avoir identifié et documenté plusieurs vulnérabilités dans Google Cloud Shell. Le

Enfin, Bugra Eskici a obtenu le 7 prix et reçu 13 337 $ pour avoir signalé une faille d’injection de commandes dans Cloud Shell. une faille critique de type injection de commandes dans Cloud Shell.

Ces primes de chasse aux bugs visent à renforcer la protection de Google Cloud. Elles s’inscrivent , par ailleurs, dans le cadre d’un effort plus large implicant des chercheurs et hackers éthiques tiers.

Google VRP : 12 millions $ versés en 2022

Sur la seule année 2022, ce sont 12 millions $ de primes de chasse aux bugs informatiques qui ont été versés dans le cadre du programme VRP.

Google dit avoir distribué 12 millions $ de primes de chasse aux bugs dans le cadre de son Vulnerability Reward Program (VRP) et de ses déclinaisons. 703 chercheurs en cybersécurité tiers et hackers éthiques répartis dans 68 pays se sont partagés cette somme.

Une somme en hausse de 3,5 millions $ par rapport à l’édition précédente.

2 900 incidents de sécurité dans les produits et services Google ont été identifiés et résolus dans le cadre de ce programme décliné en sous-segments. L’open source étant le dernier en date.

