Программа финансовых выплат Vulnerability Reward Program действует с ноября 2010 года. Вознаграждение можно получить за уязвимости в любом продукте Google: это браузеры Chrome и Chromium, а также все веб-сервисы на доменах *.google.com, *.youtube.com, *.blogger.com и *.orkut.com.
Прайс-лист опубликован ниже.
Максимальную награду $20 тысяч можно получить, если обнаружить возможность удалённого исполнения кода в любом приложении Google, кроме «низкоприоритетных». Вдвое меньшую сумму выплачивают за SQL-инъекцию или эквивалент на любом существенном сервисе Google, а также за существенный баг с обходом процедуры аутентификации или утечкой информации на accounts.google.com.
К первой категории важности относятся accounts.google.com, а также Google Search (google.com) Google Wallet (wallet.google.com), Google Mail (mail.google.com), Google Code Hosting (code.google.com) и Google Play (play.google.com). Дешевле всего оплачиваются уязвимости в приобретённых продуктах, недостаточно интегрированных продуктах и других «сайтах низкой важности» (например, Google Art Project и ему подобные). Вознаграждение за баги в приобретённых продуктах выплачиваются только после истечения шестимесячного срока с момента их приобретения.
Стандартная награда по программе выплат Security Bug Bounty равняется 500 долларам. Основное требование к уязвимостям - возможность с их помощью изменить персональные данные пользователей Facebook или же нарушить настройки безопасности системы. Как правило, это касается XSS-уязвимостей, в том числе уязвимости CSRF/XSRF, и внедрения произвольного программного кода.
Mozilla
Mozilla сейчас готова заплатить за уязвимость 3 тыс. долларов.