Desde 2017, Google ha seguido aumentando la cantidad de recompensas distribuidas a los descubridores de más de 2900 vulnerabilidades en todos sus productos. al punto de alcanzar un récord de $12 millones para 2022. Desde el pasado fin de semana conocemos un poco más sobre los fallos que afectaban específicamente a Google Cloud, incluida la lista de premios. fue anunciado. "Una gran parte de estos informes de vulnerabilidad han ayudado a mejorar la seguridad de los productos de Google Cloud, lo que ayuda a mejorar la seguridad de nuestros usuarios, nuestros clientes e Internet en general", dijo el proveedor. . "Este año, nos complació ver un aumento en la colaboración entre investigadores, lo que a menudo condujo a informes de vulnerabilidad más detallados y complejos".

El primer premio de 133.337 dólares fue otorgado a Yuval Avrahami por descubrir la falla de escalada de privilegios en GKE Autopilot. “El excelente informe de Yuval describe varias vías de ataque que permitirían a un atacante con permiso crear pods en un clúster de Autopilot para elevar sus privilegios y comprometer las máquinas virtuales en los nodos subyacentes. Si bien estas máquinas virtuales están disponibles para los clientes en GKE Standard, esta investigación ha llevado a varias mejoras en Autopilot que lo convierten en una mejor oferta de Kubernetes segura por defecto”, comentó Google Cloud. El segundo premio de 73.331 dólares fue otorgado a Sivanesh Ashok y Sreeram KL por su informe sobre una vulnerabilidad de inyección de clave SSH relacionada con Google Compute Engine, al igual que el tercer y cuarto premio (31.337 dólares y 31.311 dólares). ) que se referían respectivamente a una omisión de autorización en Cloud Workstations y a una falla de tipo SSRF del lado del cliente en Google Cloud Project Takeover. En total, la empresa recompensó a los expertos con 300.000 dólares.