Google zahlt bis zu 20.000 Dollar für gefundene Sicherheitslücken

Das Prämienprogramm gilt Schwachstellen in Googles Webdiensten. Der Höchstbetrag war bisher 3133,70 Dollar. Es flossen bereits 460.000 Dollar an 200 Empfänger.

Google hat die Belohnung für entdeckte Sicherheitslücken in seinen Webdiensten auf bis zu 20.000 Dollar erhöht. Wer eine Schwachstelle meldet, kann damit in Zukunft mit wesentlich höheren Prämien rechnen: Bisher betrugen sie zwischen 500 und 3133,70 Dollar.

Logo von Google

Laut Google ist das seit über einem Jahr laufende Programm äußerst erfolgreich und hat zur Auszahlung von insgesamt 460.000 Dollar an rund 200 Empfänger geführt. Mehr als 780 zutreffende Berichte über Schwachstellen gingen bisher ein. Sie betrafen Hunderte von Googles Diensten sowie Software, die von übernommenen Firmen entwickelt wurde. „Wir sind überzeugt, dass [das Programm] mehr Sicherheit für die Google-Nutzer gebracht hat“, heißt es in einem Blogeintrag von Googles Sicherheitsteam.

Mit dem erhöhten Einsatz wurden zugleich die Regeln des Prämienprogramms aktualisiert. Das „Vulnerability Reward Program“ bezieht sich auf alle Inhalte der Domains Google.com, Youtube.com, Blogger.com und Orkut.com. Noch immer ausgenommen sind Googles Client-Anwendungen wie Sketchup, Picasa und Google Desktop sowie das Mobilbetriebssystem Android. Für eine Belohnung von 100 bis 20.000 Dollar kommen verschiedene „Bug-Klassen“ infrage. Den Höchstbetrag vergibt das Prämiengremium für Sicherheitslücken, die die Ausführung von Code auf Googles Produktivsystemen erlauben.

10.000 Dollar sind für die Aufdeckung von SQL-Injection-Schwachstellen und vergleichbaren Sicherheitslücken zu bekommen. Bis zu 3133,70 Dollar gibt es für übliche Schwachstellentypen (etwa XSS, XSRF und XSSI) in kritischen Anwendungen. Tendenziell höhere Prämien will Google für gemeldete Schwachstellen bezahlen, die mit einem hohen Sicherheitsrisiko für die Nutzer verbunden sind. Eine berichtete Cross-Site-Scripting-Lücke im Bezahldienst Google Wallet kann demnach mehr bringen als eine im Google Art Project, bei dem das potenzielle Risiko für Nutzerdaten deutlich geringer ist.

Schon Anfang 2010 hatte Google Prämien für entdeckte Schwachstellen im Browser Chrome ausgelobt. Seit November 2010 belohnt es auch Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden. Auf der Sicherheitskonferenz CanSecWest veranstaltete Google in diesem Jahr außerdem einen Wettbewerb für gemeldete Chrome-Exploits. Es führte zur Aufdeckung einer besonders kritischen Sicherheitslücke, für die 60.000 Dollar zur Auszahlung kamen.

[mit Material von Dara Kerr, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Themenseiten: Google, IT-Jobs, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google zahlt bis zu 20.000 Dollar für gefundene Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *