En s'inspirant d'une initiative de Mozilla datant de 2004, Google a lancé début 2010 un programme Vulnerability Rewards Program afin de récompenser avec des billets verts des chercheurs en sécurité tiers pour la découverte et le rapport de vulnérabilités affectant Google Chrome et son socle open source Chromium.
Google n'est pas le seul sur ce créneau puisque par exemple Facebook gère également son propre programme de rétribution pour la découverte de failles par des tiers. C'est un choix que n'a par contre pas fait Microsoft.
La firme de Mountain View se dit pleinement satisfaite des résultats obtenus et affirme qu'outre une meilleure protection de ses utilisateurs, cela lui a permis de renforcer ses relations avec les chercheurs en sécurité. Une relation qui semble parfois plus conflictuelle du côté de Microsoft.
Pour entretenir cette relation, Google rehausse les primes pour la découverte de failles dans ses services Web : 7 500 $ pour des bugs de type cross-site scripting sur Google Accounts et 5 000 $ pour d'autres services sensibles comme Gmail et Google Wallet. Des récompenses dont le montant a été plus que doublé voire triplé.
Pour des fuites d'information significatives et le contournement de mesures d'authentification, la récompense passe de 5 000 dollars à 7 500 dollars.
Depuis novembre 2010, Google indique avoir reçu plus de 1 500 rapports de bugs valides et avoir déboursé 828 000 dollars pour plus de 250 personnes. Certaines d'entre elles sont généreuses puisqu'elles ont reversé leurs récompenses à des organismes de bienfaisance.
