Google hat den maximalen Prämienbetrag erhöht, den es Entdeckern neuer Sicherheitslücken im Rahmen seines Bug-Bounty-Programm für Chrome auszahlt. Statt höchstens 5000 Dollar erhalten Finder besonders gravierender Schwachstellen in dem Browser künftig 15.000 Dollar, wie der Internetkonzern in einem Blogbeitrag mitteilt. An der zum Start des Programms im Jahr 2010 eingeführten Minimalprämie von 500 Dollar ändert sich hingegen nichts.
Zugleich verspricht Google mehr Transparenz beim Prämienschlüssel. In einer Übersicht skizziert es, wie viel Geld Sicherheitsforscher für das Melden bestimmter Fehlertypen erwarten können. Außer der monetären Belohnung erhalten Teilnehmer des Sicherheitsprämienprogramms auch einen Platz in Googles Hall of Fame, werden also mit Namen und Website-Link in einer öffentlichen Liste aufgeführt.
Außerdem zahlt Google künftig mehr für Bugs begleitende Exploits, die einen bestimmten Angriffsweg demonstrieren. Die Exploits müssen nicht zeitgleich mit der zugrunde liegenden Lücke eingereicht werden. Davon erhofft sich das Unternehmen weniger Bug-Duplikate und, dass es Sicherheitslecks schneller beseitigen kann. Die höheren Prämien gelten laut Google rückwirkend zum 1. Juli.
Außer Google loben inzwischen unter anderem auch Facebook und Microsoft Prämien für Hinweise auf zuvor nich nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsprämienprogramm namens Internet Bug Bounty. Solche Programme helfen ihnen nicht nur dabei, Sicherheitslecks schnell aufzuspüren, sondern auch zu verhindern, dass für Angriffe geeignete Anfälligkeiten auf dem Schwarzmarkt verkauft werden.
Zum Start seines Prämienprogramms stand Google in der Kritik, zu wenig zu zahlen. Doch inzwischen hat es seinen Ruf verbessert, indem es in Einzelfällen auch besonders hohe Prämien jenseits seiner selbstgesteckten Grenzen zahlt. Beispielsweise erhielt ein Sicherheitsforscher im vergangenen Monat 30.000 Dollar, weil er eine Reihe zusammenhängender Bugs gemeldet hatte, die einen Ausbruch aus der Chrome-Sandbox erlaubten. Diese Ausnahmeprämien soll es auch künftig geben. Insgesamt hat Google im vergangenen Jahr 1,25 Millionen Dollar für mehr als 700 gemeldete Fehler in seinem Browser an Sicherheitsforscher ausgezahlt.
[mit Material von Seth Rosenblatt, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der digitale Wandel hat die Art und Weise verändert, wie Verbraucherrechte gehandhabt werden. Insbesondere in…
Chrome speichert Passkeys nun auch unter Windows, macOS und Linux im Google Passwortmanager. Dadurch stehen…
In einem klimatisierten Büro mag ein herkömmlicher Laptop großartig sein, aber was passiert, wenn der…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
