Google telah menggelontorkan dana fantastis sebesar 11,8 juta dollar AS (sekitar Rp 193,6 miliar) kepada 660 “bug hunter” sepanjang tahun 2024. Pembayaran ini merupakan bagian dari program Vulnerability Reward Program (VRP) Google, yang dirancang untuk menghargai individu dan kelompok yang menemukan dan melaporkan kerentanan keamanan (bug) dalam produk-produk Google.
Bug hunter adalah individu atau tim yang berdedikasi dalam menemukan dan melaporkan kelemahan keamanan dalam perangkat lunak, sistem operasi, dan aplikasi. Peran mereka sangat krusial dalam menjaga keamanan dunia digital. Dalam kasus ini, bug hunter telah berhasil mengidentifikasi dan melaporkan sejumlah kerentanan di sistem Android dan ekosistem Google lainnya.
Rata-rata, setiap bug hunter menerima imbalan sekitar 18.000 dollar AS (sekitar Rp 295,4 juta). Namun, angka ini hanya rata-rata. Beberapa bug hunter menerima imbalan jauh lebih tinggi, sementara yang lain menerima lebih sedikit. Pembayaran tertinggi yang diberikan Google untuk satu bug pada tahun 2024 mencapai 110.000 dollar AS (sekitar Rp 1,8 miliar), sebuah bukti penghargaan atas temuan yang sangat signifikan dan berdampak.
Sejak program VRP dimulai pada tahun 2010, Google telah menggelontorkan total 65 juta dollar AS (sekitar Rp 1 triliun) kepada ribuan bug hunter di seluruh dunia. Angka ini menunjukkan komitmen Google yang kuat terhadap keamanan siber dan peran penting yang dimainkan oleh komunitas bug hunter.
Potensi Imbalan yang Meningkat untuk Bug Hunter
Google melakukan sejumlah perubahan pada struktur pembayaran VRP di tahun 2024. Perubahan ini bertujuan untuk meningkatkan insentif bagi bug hunter dan mendorong penemuan kerentanan yang lebih banyak dan berkualitas tinggi. Sistem baru ini memungkinkan bug hunter untuk menerima hadiah yang lebih besar dibandingkan dengan sistem sebelumnya.
Struktur pembayaran baru ini menawarkan imbalan yang menarik untuk berbagai kategori kerentanan. Imbalan tertinggi ditawarkan untuk kerentanan pada platform Mobile VRP, mencapai 300.000 dollar AS (sekitar Rp 4,68 miliar). Kategori lain, seperti kerentanan umum, Cloud VRP, dan Chrome VRP, juga menawarkan imbalan yang sangat signifikan.
Dari total 11,8 juta dollar AS yang dibayarkan pada tahun 2024, sebanyak 3,3 juta dollar AS (sekitar Rp 51,5 miliar) dialokasikan untuk bug hunter yang menemukan kerentanan di Android dan Google Devices. Meskipun jumlah laporan yang masuk untuk Android dan Google Devices turun 8 persen dibandingkan tahun sebelumnya, kualitas laporan meningkat, dengan jumlah kerentanan kritis dan tinggi meningkat 2 persen.
Hal ini menunjukkan bahwa meskipun jumlah bug yang ditemukan berkurang, kualitas dan dampaknya semakin besar. Para peneliti juga mengamati bahwa meningkatnya keamanan Android membuat penemuan kerentanan yang dapat dieksploitasi menjadi semakin sulit.
Untuk Chrome, Google menerima 337 laporan unik, dengan 137 laporan memenuhi syarat untuk mendapatkan hadiah, yang berjumlah total 3,4 juta dollar AS (sekitar Rp 53,1 miliar). Google juga telah memperkenalkan kategori baru untuk bug bounty yang terkait dengan kecerdasan buatan (AI), meskipun pembayaran untuk kategori ini masih relatif kecil, yaitu 55.000 dollar AS (sekitar Rp 859 juta).
Google merencanakan perayaan ulang tahun ke-15 program bug bounty VRP pada tahun 2025. Perubahan pada program VRP mungkin akan diumumkan pada perayaan tersebut untuk semakin meningkatkan keamanan ekosistem Google.
Sebagai penutup, Google menyampaikan apresiasi yang tinggi kepada seluruh komunitas bug hunter atas kontribusi mereka dalam meningkatkan keamanan produk dan platform Google. Google juga mengajak para peneliti yang belum berpartisipasi dalam VRP untuk bergabung dan berkontribusi dalam menjaga keamanan ekosistem Google.
Program VRP Google tidak hanya memberikan insentif finansial yang menarik, tetapi juga berperan penting dalam membangun kolaborasi yang kuat antara Google dan komunitas keamanan siber global. Hal ini menunjukkan komitmen Google dalam menciptakan lingkungan digital yang lebih aman bagi para penggunanya.