Google inverte la rotta: prima ‘Bel colpo!’, poi ‘Funziona come previsto’. E niente bug bounty per una falla gravissima su GCP

La risposta contraddittoria di Google

La storia della risposta di Google è un susseguirsi di contraddizioni che lasciano senza fiato.

Fase 1 — "Bel colpo!" O'Leary ha segnalato il bug a Google il 8 marzo 2026 . Il 27 marzo, un ingegnere della sicurezza di Google ha accettato la segnalazione e gli ha detto "Bel colpo!" . L'ingegnere ha dichiarato di aver inoltrato il bug al team di prodotto competente e ha assicurato a O'Leary che avrebbero lavorato con Google Cloud per risolvere la falla, scrivendo: "Lavoreremo con il team di prodotto per garantire che il problema venga risolto. Ti faremo sapere quando sarà risolto" . Google ha assegnato al bug la priorità P1 (massima) e la gravità S1 (critica — colpisce una larga percentuale di utenti e può interrompere le funzioni organizzative principali) .

Fase 2 — "Funziona come previsto." L'7 aprile — 11 giorni dopo — O'Leary ha ricevuto un messaggio da un bot di sicurezza di Google che invertiva la decisione . Il pannello del Cloud Vulnerability Reward Program ha concluso che "l'impatto sulla sicurezza di questo problema non soddisfa i criteri per qualificarsi per una ricompensa" e che il software "funziona come previsto" . Google ha negato qualsiasi pagamento del bounty.

La contraddizione: Secondo il rapporto di The Register del 18 giugno, il bug tracker interno di Google elencava ancora ConfigConfusion come P1/S1 con stato "in progress (accepted)" — in conflitto con la posizione pubblica che non esiste alcuna vulnerabilità .

Stato irrisolto

A metà giugno 2026 — oltre tre mesi dopo la segnalazione iniziale — la vulnerabilità rimane senza patch e irrisolta . O'Leary ha nel frattempo pubblicato un post di ricerca con tutti i dettagli tecnici su olearysec.com .

Le modifiche al VRP di Google 2026 — Contesto più ampio

All'inizio di maggio 2026, Google ha rivoluzionato i suoi Vulnerability Reward Programs per Chrome e Android, citando esplicitamente l'aumento dell'uso di strumenti di IA nella scoperta delle vulnerabilità .

Modifiche principali:

• I premi per Chrome sono stati ridotti nella maggior parte delle categorie. La motivazione di Google è che gli strumenti di IA possono produrre facilmente grandi volumi di segnalazioni di qualità inferiore, quindi ha ristrutturato le ricompense verso classi di bug a più alto impatto e più difficili da automatizzare .
• I premi massimi per Android sono aumentati — una compromissione zero-click dell'intera catena del Titan M2 con persistenza ora paga fino a 1,5 milioni di dollari .
• Le pubblicazioni CVE di Chrome sono quadruplicate anno su anno (da 52 all'inizio di maggio 2025 a 252 all'inizio di maggio 2026), un dato che Google ha citato come prova dell'ondata di segnalazioni generate dall'IA .

I critici sostengono che questo crei un contrasto imbarazzante: Google taglia i premi di Chrome a causa del "rumore dell'IA", mentre nega la ricompensa a un ricercatore umano per un bug dell'infrastruttura cloud attentamente segnalato e valutato CVSS 10.0, con la motivazione che "funziona come previsto" — una decisione che molti nella comunità della sicurezza hanno definito miope e dannosa per la fiducia dei ricercatori .