Google belohnt Finder von Sicherheitslücken in Web-Anwendungen

Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden, erhalten von dem Unternehmen ab sofort eine Belohnung. Zudem werden in einer Bestenliste verewigt. Die Höhe der Entschädigung richtet sich nach dem Schweregrad des Fehlers und reicht von 500 bis 3133,70 Dollar.

Das Projekt betrifft „jede Google-Webanwendung oder jedes Konto, das sensible, authentifizierte Nutzerdaten anzeigt oder verarbeitet“, heißt es in einem Blogeintrag. Das gilt etwa für YouTube, Blogger und Orkut. Die Client-Anwendungen Picasa und Google Desktop sowie das Mobilbetriebssystem Android sind derzeit vom Programm ausgenommen.

Google führt eine Reihe von Fehlerarten an, für die die Belohnung gilt. Darunter fallen etwa XSS-Schwachstellen, Möglichkeiten, eine Autorisierungskontrolle zu umgehen, sowie serverseitige Code-Ausführung.

„Das Programm gibt uns die Möglichkeit, all jenen auf einem neuen Weg zu danken, die uns regelmäßig mit Beiträgen versorgen. Außerdem hoffen wir, so neue Forscher anzulocken – ebenso wie Berichte, die helfen, unsere Anwendungen für Nutzer sicherer zu machen.“

Ende Januar 2010 hatte Google ein ähnliches Projekt für Chrome auf den Weg gebracht, das aber auf Kritik von Sicherheitsexperten stieß. Ihrer Ansicht nach waren die veranschlagten Beträge zu gering und lagen unter den Entschädigungen, die etwa VeriSign oder Tipping Point im Rahmen des iDefense Vulnerability Contributor Program beziehungsweise der Zero Day Initiative anbieten.