Google telah menggelontorkan dana sebesar 11,8 juta dollar AS (sekitar Rp 193,6 miliar) pada tahun 2024 untuk membayar 660 “bug hunter” melalui program Vulnerability Reward Program (VRP). Jumlah ini menunjukkan komitmen Google dalam menjaga keamanan platform dan perangkat lunak mereka.
Bug hunter adalah individu atau kelompok yang secara proaktif mencari dan melaporkan kerentanan keamanan (bug) dalam perangkat lunak, sistem operasi, atau aplikasi. Dalam kasus ini, para bug hunter tersebut fokus pada Android dan ekosistem Google secara keseluruhan.
Rata-rata setiap bug hunter menerima imbalan sekitar 18.000 dollar AS (sekitar Rp 295,4 juta). Namun, ini hanya angka rata-rata; beberapa peneliti menerima jauh lebih banyak, sementara yang lain menerima lebih sedikit. Pembayaran tertinggi yang diberikan untuk satu bug pada tahun 2024 mencapai 110.000 dollar AS (sekitar Rp 1,8 miliar), menunjukkan penghargaan yang signifikan untuk penemuan kerentanan yang sangat kritis.
Sejak diluncurkan pada tahun 2010, program VRP Google telah membayarkan total 65 juta dollar AS (sekitar Rp 1 triliun) kepada ribuan bug hunter di seluruh dunia. Hal ini menunjukkan skala besar dan dampak positif dari program ini dalam meningkatkan keamanan digital.
Potensi Imbalan untuk Bug Hunter Meningkat
Google telah melakukan perubahan pada struktur pembayaran VRP pada tahun 2024, memungkinkan bug hunter untuk menerima imbalan yang lebih besar. Perubahan ini mencerminkan meningkatnya kompleksitas dan risiko keamanan dalam lanskap digital saat ini.
Berikut adalah beberapa contoh besaran imbalan yang ditawarkan Google saat ini:
- Kerentanan umum: hingga 151.515 dollar AS (sekitar Rp 2,36 miliar)
- Mobile VRP: hingga 300.000 dollar AS (sekitar Rp 4,68 miliar)
- Cloud VRP: hingga 151.515 dollar AS (sekitar Rp 2,36 miliar)
- Chrome VRP: hingga 250.000 dollar AS (sekitar Rp 3,9 miliar)
Dari total 11,8 juta dollar AS yang dibayarkan pada tahun 2024, 3,3 juta dollar AS (sekitar Rp 51,5 miliar) dialokasikan untuk bug hunter di Android dan Google Devices. Meskipun jumlah laporan menurun 8 persen dibandingkan tahun sebelumnya, kualitas laporan meningkat, dengan peningkatan 2 persen dalam jumlah kerentanan yang dikategorikan kritis dan tinggi.
Ini menunjukkan bahwa meskipun jumlah bug yang ditemukan berkurang, dampak potensial dari bug yang ditemukan tetap signifikan. Para peneliti juga mengakui bahwa peningkatan keamanan Android telah membuat penemuan dan eksploitasi celah keamanan menjadi lebih sulit.
Untuk Chrome, Google menerima 337 laporan unik, dengan 137 laporan memenuhi syarat untuk hadiah, yang totalnya mencapai 3,4 juta dollar AS (sekitar Rp 53,1 miliar). Google juga telah memperkenalkan kategori baru untuk bug bounty terkait kecerdasan buatan (AI), meskipun pembayaran untuk kategori ini masih relatif kecil (55.000 dollar AS atau sekitar Rp 859 juta) karena masih baru.
Google merencanakan perayaan ulang tahun ke-15 program bug bounty VRP pada tahun 2025. Perubahan apa pun yang akan dilakukan pada program ini untuk merayakan tonggak sejarah tersebut masih belum diumumkan.
Google menyampaikan terima kasih kepada para bug hunter atas kontribusi mereka dalam meningkatkan keamanan produk dan platform Google. Mereka juga mengundang para peneliti yang belum terlibat dalam VRP untuk bergabung dan berkontribusi dalam menjaga keamanan ekosistem Google.
Kesimpulannya, program VRP Google bukan hanya sekadar program penghargaan, tetapi merupakan investasi strategis dalam keamanan digital. Dengan memberikan insentif finansial yang signifikan, Google berhasil memotivasi para ahli keamanan untuk membantu meningkatkan keamanan produk dan platform mereka, melindungi pengguna dari potensi ancaman.
Program ini juga menunjukkan tren yang lebih luas di industri teknologi, yaitu meningkatnya pengakuan dan penghargaan bagi para peneliti keamanan yang berperan penting dalam menjaga keamanan dunia digital.
