Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden, erhalten von dem Unternehmen ab sofort eine Belohnung. Zudem werden in einer Bestenliste verewigt. Die Höhe der Entschädigung richtet sich nach dem Schweregrad des Fehlers und reicht von 500 bis 3133,70 Dollar.
Das Projekt betrifft „jede Google-Webanwendung oder jedes Konto, das sensible, authentifizierte Nutzerdaten anzeigt oder verarbeitet“, heißt es in einem Blogeintrag. Das gilt etwa für YouTube, Blogger und Orkut. Die Client-Anwendungen Picasa und Google Desktop sowie das Mobilbetriebssystem Android sind derzeit vom Programm ausgenommen.
Google führt eine Reihe von Fehlerarten an, für die die Belohnung gilt. Darunter fallen etwa XSS-Schwachstellen, Möglichkeiten, eine Autorisierungskontrolle zu umgehen, sowie serverseitige Code-Ausführung.
„Das Programm gibt uns die Möglichkeit, all jenen auf einem neuen Weg zu danken, die uns regelmäßig mit Beiträgen versorgen. Außerdem hoffen wir, so neue Forscher anzulocken – ebenso wie Berichte, die helfen, unsere Anwendungen für Nutzer sicherer zu machen.“
Ende Januar 2010 hatte Google ein ähnliches Projekt für Chrome auf den Weg gebracht, das aber auf Kritik von Sicherheitsexperten stieß. Ihrer Ansicht nach waren die veranschlagten Beträge zu gering und lagen unter den Entschädigungen, die etwa VeriSign oder Tipping Point im Rahmen des iDefense Vulnerability Contributor Program beziehungsweise der Zero Day Initiative anbieten.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…