Depuis 2017, Google n'a cessé d'augmenter le montant des primes distribuées aux découvreurs de plus de 2 900 vulnérabilités dans l'ensemble de ses produits au point d'atteindre pour 2022 un record de 12 M$. Depuis la fin de semaine dernière, on en sait un peu plus sur les failles ayant spécifiquement touchées Google Cloud dont le palmarès des primes a été annoncé. « Une grande partie de ces rapports de vulnérabilité a permis d'améliorer la sécurité des produits Google Cloud, ce qui contribue à améliorer la sécurité de nos utilisateurs, de nos clients et de l'Internet en général » , s'est félicité le fournisseur. « Cette année, nous avons été ravis de constater une augmentation de la collaboration entre les chercheurs, ce qui a souvent conduit à des rapports de vulnérabilité plus détaillés et plus complexes ».
Le premier prix de 133 337 $ a été remis Yuval Avrahami pour la découverte de la faille d'escalade de privilèges dans GKE Autopilot. « L'excellent rapport de Yuval décrit plusieurs voies d'attaque qui permettraient à un attaquant ayant la permission de créer des pods dans un cluster Autopilot d'élever ses privilèges et de compromettre les VMs des nœuds sous-jacents. Bien que ces VM soient accessibles aux clients dans GKE Standard, cette recherche a conduit à plusieurs améliorations de durcissement dans Autopilot qui en font une meilleure offre Kubernetes sécurisée par défaut », a commenté Google Cloud. Le 2e prix de 73 331 $ a été attribué à Sivanesh Ashok et Sreeram KL pour leur rapport au sujet d'une vulnérabilité SSH par Key Injection relatif à Google Compute Engine, tout comme les 3e et 4e prix (31 337 $ et 31 311 $) qui ont respectivement concerné un contournement d'autorisation dans Cloud Workstations et une faille de type client-side SSRF dans Google Cloud Project Takeover. Au total, la firme a récompensé les experts à hauteur de 300 000 dollars.