10月30日(米国時間)、「Messing with the Google Buganizer System for $15,600 in Bounties」において、Googleが内部で利用している脆弱性などの報告システム「Issue Tracker」に複数の脆弱性が存在していたと伝えた。これら脆弱性を発見したセキュリティ研究者は、バグの報告によって1万5600米ドルの報奨金を得たとしている。
脆弱性を報告したAlex Birsan氏はGoogleのIssue Trackerに3つの脆弱性を発見して、それぞれ次の報奨金を得たとしている。
- バグ1: Googleが認定するまで11時間、報奨金は3,133.7米ドル、プライオリティP1
- バグ2: Googleが認定するまで5時間、報奨金は5,000米ドル、プライオリティP0
- バグ3: Googleが認定するまで1時間、報奨金は75,000米ドル、プライオリティP0
これら脆弱性を悪用された場合、修正される前の脆弱性のデータに外部からアクセスすることができていた可能性がある。こうした情報が外部に漏えいした場合の損害はかなりの規模に及ぶことが考えられる。
Googleなどのテクノロジーベンダーをはじめ、現在ではさまざまな業界の企業が脆弱性の報告に対して報奨金を支払う制度を運用している。こうした制度の運用によって、脆弱性の発見が進んでいると言われている。
