Google hat die Belohnung für entdeckte Sicherheitslücken in seinen Webdiensten auf bis zu 20.000 Dollar erhöht. Wer eine Schwachstelle meldet, kann damit in Zukunft mit wesentlich höheren Prämien rechnen: Bisher betrugen sie zwischen 500 und 3133,70 Dollar.
Laut Google ist das seit über einem Jahr laufende Programm äußerst erfolgreich und hat zur Auszahlung von insgesamt 460.000 Dollar an rund 200 Empfänger geführt. Mehr als 780 zutreffende Berichte über Schwachstellen gingen bisher ein. Sie betrafen Hunderte von Googles Diensten sowie Software, die von übernommenen Firmen entwickelt wurde. „Wir sind überzeugt, dass [das Programm] mehr Sicherheit für die Google-Nutzer gebracht hat“, heißt es in einem Blogeintrag von Googles Sicherheitsteam.
Mit dem erhöhten Einsatz wurden zugleich die Regeln des Prämienprogramms aktualisiert. Das „Vulnerability Reward Program“ bezieht sich auf alle Inhalte der Domains Google.com, Youtube.com, Blogger.com und Orkut.com. Noch immer ausgenommen sind Googles Client-Anwendungen wie Sketchup, Picasa und Google Desktop sowie das Mobilbetriebssystem Android. Für eine Belohnung von 100 bis 20.000 Dollar kommen verschiedene „Bug-Klassen“ infrage. Den Höchstbetrag vergibt das Prämiengremium für Sicherheitslücken, die die Ausführung von Code auf Googles Produktivsystemen erlauben.
10.000 Dollar sind für die Aufdeckung von SQL-Injection-Schwachstellen und vergleichbaren Sicherheitslücken zu bekommen. Bis zu 3133,70 Dollar gibt es für übliche Schwachstellentypen (etwa XSS, XSRF und XSSI) in kritischen Anwendungen. Tendenziell höhere Prämien will Google für gemeldete Schwachstellen bezahlen, die mit einem hohen Sicherheitsrisiko für die Nutzer verbunden sind. Eine berichtete Cross-Site-Scripting-Lücke im Bezahldienst Google Wallet kann demnach mehr bringen als eine im Google Art Project, bei dem das potenzielle Risiko für Nutzerdaten deutlich geringer ist.
Schon Anfang 2010 hatte Google Prämien für entdeckte Schwachstellen im Browser Chrome ausgelobt. Seit November 2010 belohnt es auch Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden. Auf der Sicherheitskonferenz CanSecWest veranstaltete Google in diesem Jahr außerdem einen Wettbewerb für gemeldete Chrome-Exploits. Es führte zur Aufdeckung einer besonders kritischen Sicherheitslücke, für die 60.000 Dollar zur Auszahlung kamen.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…