Google hat die Belohnung für entdeckte Sicherheitslücken in seinen Webdiensten auf bis zu 20.000 Dollar erhöht. Wer eine Schwachstelle meldet, kann damit in Zukunft mit wesentlich höheren Prämien rechnen: Bisher betrugen sie zwischen 500 und 3133,70 Dollar.
Laut Google ist das seit über einem Jahr laufende Programm äußerst erfolgreich und hat zur Auszahlung von insgesamt 460.000 Dollar an rund 200 Empfänger geführt. Mehr als 780 zutreffende Berichte über Schwachstellen gingen bisher ein. Sie betrafen Hunderte von Googles Diensten sowie Software, die von übernommenen Firmen entwickelt wurde. „Wir sind überzeugt, dass [das Programm] mehr Sicherheit für die Google-Nutzer gebracht hat“, heißt es in einem Blogeintrag von Googles Sicherheitsteam.
Mit dem erhöhten Einsatz wurden zugleich die Regeln des Prämienprogramms aktualisiert. Das „Vulnerability Reward Program“ bezieht sich auf alle Inhalte der Domains Google.com, Youtube.com, Blogger.com und Orkut.com. Noch immer ausgenommen sind Googles Client-Anwendungen wie Sketchup, Picasa und Google Desktop sowie das Mobilbetriebssystem Android. Für eine Belohnung von 100 bis 20.000 Dollar kommen verschiedene „Bug-Klassen“ infrage. Den Höchstbetrag vergibt das Prämiengremium für Sicherheitslücken, die die Ausführung von Code auf Googles Produktivsystemen erlauben.
10.000 Dollar sind für die Aufdeckung von SQL-Injection-Schwachstellen und vergleichbaren Sicherheitslücken zu bekommen. Bis zu 3133,70 Dollar gibt es für übliche Schwachstellentypen (etwa XSS, XSRF und XSSI) in kritischen Anwendungen. Tendenziell höhere Prämien will Google für gemeldete Schwachstellen bezahlen, die mit einem hohen Sicherheitsrisiko für die Nutzer verbunden sind. Eine berichtete Cross-Site-Scripting-Lücke im Bezahldienst Google Wallet kann demnach mehr bringen als eine im Google Art Project, bei dem das potenzielle Risiko für Nutzerdaten deutlich geringer ist.
Schon Anfang 2010 hatte Google Prämien für entdeckte Schwachstellen im Browser Chrome ausgelobt. Seit November 2010 belohnt es auch Sicherheitsforscher, die eine Lücke in einer von Googles Webanwendungen finden und sie melden. Auf der Sicherheitskonferenz CanSecWest veranstaltete Google in diesem Jahr außerdem einen Wettbewerb für gemeldete Chrome-Exploits. Es führte zur Aufdeckung einer besonders kritischen Sicherheitslücke, für die 60.000 Dollar zur Auszahlung kamen.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…