Bug Bounty : les 6 lauréats du Google Cloud VRP Prize

Google a dévoilé récemment les noms des lauréats de son Google Cloud VRP Prize.

6 chercheurs en sécurité se sont partagés 313 337 $ de primes de chasse aux bugs.

Yuval Avrahami a remporté les premier et cinquème prix. Le chercheur a ainsi reçu 133 337 $ pour avoir découvert et signalé une faille exposant Google Kubernetes Engine (GKE) Autopilot aux attaques par élévation de privilèges. Il a également obtenu, avec Shaul Ben Hai, tous deux collaborateurs de Palo Alto Networks, 17 311 $ pour avoir documenté [PDF] l'élévation de privilèges associés à Kubernetes dans les principales plateformes du marché.

Deux autres chercheurs - Sivanesh Ashok et Sreeram KL ont reçu les deuxième, troisième et quatrième prix. Le duo a remporté 73 331 $ pour son rapport de sécurité sur une faille exposant Google Compute Engine à une attaque par injection (SSH Key Injection on GCE). Ils ont également obtenu 31 337 $ pour leurs travaux sur le potentiel contournement des autorisations dans Google Cloud Workstation. Ils ont enfin reçu 31 311 $ pour leur analyse concernant des requêtes falsifiées côté serveur (SSRF) dans des projets Google Cloud.

Le 6e prix est revenu à un chercheur nommé Obmi. 13 373 $ lui ont été versés pour avoir identifié et documenté plusieurs vulnérabilités dans Google Cloud Shell.

Enfin, Bugra Eskici a obtenu le 7e prix et reçu 13 337 $ pour avoir signalé une faille d'injection de commandes dans Cloud Shell.

Ces primes de chasse aux bugs s'inscrivent dans le cadre d'un effort plus large.

Google VRP : 12 millions $ versés en 2022

Le prix Google Cloud VRP a été initié en 2019 « pour encourager davantage de chercheurs à se concentrer sur la sécurité de Google Cloud et soutenir le partage des connaissances ».

Il est une des déclinaisons du Vulnerability Reward Program (VRP) de la multinationale.

Dans le cadre de son VRP, Google dit avoir distribué plus de 12 millions $ de primes de chasse aux bugs au total en 2022, contre 8,5 millions $ lors de l'édition précédente.

2 900 incidents de sécurité dans les produits et services Google ont été identifiés et résolus.

703 chercheurs en cybersécurité tiers et hackers éthiques ont été récompensés.

_{(crédit photo © Shutterstock)}