Les chiffres sont assez éloquents sur le programme de bug bounty de Google, aussi appelé « programme de récompense pour les vulnérabilités ». Depuis ses débuts en 2010, il a versé des primes pour la découverte de 11 055 failles dans ses services. On peut comparer ce chiffre au Patch Tuesday de Microsoft ou aux bulletins trimestriels de sécurité d’Oracle, qui sur les 11 dernières années affichent un score de 11 000 brèches trouvées. Sur le montant des primes, Google indique avoir versé 29 M$ à 2022 chercheurs.
Ce programme aurait donc pu continuer à vivre de beaux jours, mais Google a décidé de le remanier. Il est rebaptisé « Bug Hunters » et dispose d’un site rénové. Fédérant les différents programmes de bug bounty du groupe (Google, Android, Abuse, Chrome et Play), il sera le point d’entrée unique pour les rapports de bugs. Le portail promet « plus d’interactions et une saine compétition grâce à la gamification, aux classements par pays, aux récompenses/badges pour certains bugs ».
Google a soigné aussi la présentation des pages de classement. En effet, certains participants se servent de cette vitrine pour trouver un emploi ou des missions. L’accent est par ailleurs mis sur la formation avec la Bug Hunters University. Ce site propose d’affiner ses compétences ou de se former sur certaines techniques de piratage ou comment valider les rapports de hack.