Google hat die Belohnung für entdeckte Sicherheitslücken in seinen Webdiensten auf bis zu 20.000 Dollar erhöht. Wer eine Schwachstelle meldet, kann damit in Zukunft mit wesentlich höheren Prämien rechnen: Bisher betrugen sie zwischen 500 und 3133,70 Dollar.
Laut Google ist das seit über einem Jahr laufende Programm äußerst erfolgreich und hat zur Auszahlung von insgesamt 460.000 Dollar an rund 200 Empfänger geführt. Mehr als 780 zutreffende Berichte über Schwachstellen gingen bisher ein. Sie betrafen Hunderte von Googles Diensten sowie Software, die von übernommenen Firmen entwickelt wurde. „Wir sind überzeugt, dass [das Programm] mehr Sicherheit für die Google-Nutzer gebracht hat“, heißt es in einem Blogeintrag von Googles Sicherheitsteam.
Mit dem erhöhten Einsatz wurden zugleich die Regeln des Prämienprogramms aktualisiert. Das „Vulnerability Reward Program“ bezieht sich auf alle Inhalte der Domains Google.com, Youtube.com, Blogger.com und Orkut.com. Noch immer ausgenommen sind Googles Client-Anwendungen wie Sketchup, Picasa und Google Desktop sowie das Mobilbetriebssystem Android. Für eine Belohnung von 100 bis 20.000 Dollar kommen verschiedene „Bug-Klassen“ infrage. Den Höchstbetrag vergibt das Prämiengremium für Sicherheitslücken, die die Ausführung von Code auf Googles Produktivsystemen erlauben.
10.000 Dollar sind für die Aufdeckung von SQL-Injection-Schwachstellen und vergleichbaren Sicherheitslücken zu bekommen. Bis zu 3133,70 Dollar gibt es für übliche Schwachstellentypen (etwa XSS, XSRF und XSSI) in kritischen Anwendungen. Tendenziell höhere Prämien will Google für gemeldete Schwachstellen bezahlen, die mit einem hohen Sicherheitsrisiko für die Nutzer verbunden sind. Eine berichtete Cross-Site-Scripting-Lücke im Bezahldienst Google Wallet kann demnach mehr bringen als eine im Google Art Project, bei dem das potenzielle Risiko für Nutzerdaten deutlich geringer ist.
Schon Anfang 2010 hatte Google Prämien für entdeckte Schwachstellen im Browser Chrome ausgelobt. Seit November 2010 belohnt es auch Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden. Auf der Sicherheitskonferenz CanSecWest veranstaltete Google in diesem Jahr außerdem einen Wettbewerb für gemeldete Chrome-Exploits. Es führte zur Aufdeckung einer besonders kritischen Sicherheitslücke, für die 60.000 Dollar zur Auszahlung kamen.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…