« Le but du programme est simple : encourager les chercheurs à remonter des problèmes pour nous permettre de les corriger rapidement et maintenir les données de nos utilisateurs en sécurité. » C’est ainsi que Google résume la raison d’être de son bug bounty, lancé pour la première fois en 2010. Les participants doivent trouver des failles potentielles dans les outils de la multinationale et sont récompensés par des prix allant de 100 à 200 000 $ selon le niveau de risque de la faille découverte. Et depuis le lancement de ce programme, Google a versé 15 M$.
En 2018, ce sont 3,4 M$ qui ont été remportés par 317 chercheurs, venus de 78 pays différents. La plus grosse somme remportée s’élève à 41 000 $. Parmi les candidats ayant participé et remporté un prix lors des différents bug bounties de Google l’année dernière, le groupe cite Ezequiel Pereira, Uruguayen de seulement 19 ans, qui a découvert un bug RCE (Remote Code Execution) qui lui permettait d’accéder à distance à la console GCP du fournisseur. D’autre part, 181 000 $ de ces récompenses ont été reversées à des associations, soit 5 % des récompenses totales. Comparé à 2017, les sommes versées en récompense ont augmenté de 500 000 $. Mais les participants étaient moins nombreux en 2017 (274).