Patch-Prämien: Google zahlte Sicherheitsforschern 2014 über 1,5 Millionen Dollar

Google hat erstmals detaillierte Zahlen zu seinem Patch-Prämienprogramm veröffentlicht. 2014 zahlte es Sicherheitsforschern, die Details zu Schwachstellen in unterschiedlichen Google-Produkten gemeldet haben, insgesamt mehr als 1,5 Millionen Dollar. Die höchste einzelne Belohnung belief sich einem Blogeintrag zufolge auf 150.000 Dollar. Der Empfänger habe danach ein Praktikum bei Google angetreten.

Insgesamt schüttete Google im vergangenen Jahr Prämien an mehr als 200 unterschiedliche Forscher aus, die Details zu mehr als 500 Bugs übermittelt haben. Mehr als die Hälfte aller Fehler in Chrome, die Google honoriert hat, steckten in den Beta- und Developer-Versionen des Browsers. Google sei deswegen in der Lage gewesen, viele Löcher zu stopfen, bevor sie den Stable Channel und damit die Mehrheit der Nutzer erreichten.

Google hatte das Prämienprogramm für Sicherheitslücken 2010 ins Leben gerufen. Seitdem zahlte es mehr als 4 Millionen Dollar an Forscher aus. Ab diesem Jahr sind nun auch alle mobilen Anwendungen, die Google selbst entwickelt und über Google Play oder Apples App Store anbietet, Bestandteil des Vulnerability Reward Program. Bisher deckte es neben Chrome und Chrome OS auch Chrome-Apps und –Erweiterungen, Open-Source-Projekte und die eigenen Websites ab.

Darüber hinaus unterstützt Google Forscher neuerdings schon während ihrer Arbeit. Sie sollen dem Internetkonzern bei der Suche nach bestimmten Anfälligkeiten in bestimmten Produkten und Diensten helfen. Dafür erhalten sie, noch bevor sie einen Fehler entdeckt haben, eine Prämie von bis zu 3133,70 Dollar. Sollten sie dann tatsächlich eine neue Schwachstelle finden, gibt es dafür anschließend noch die übliche Belohnung.

„Die Bemühungen der Forscher in Kombination mit unserer eigenen internen Arbeit macht es immer schwieriger, Fehler zu finden“, schreibt Security Engineer Eduardo Vela Nava in Googles Online Security Blog. „Das sind natürlich gute Nachrichten, sie können aber auch entmutigend sein, wenn Forscher Zeit investieren und sich abrackern, um neue Probleme zu finden.“ Aus diesem Grund habe Google nun die „Vulnerability Research Grants“ eingeführt. „Dabei handelt es sich um eine Vorab-Belohnung für Forscher, bevor sie einen Fehler einreichen.“

Die Höhe einer Prämie richtet sich generell nach der Schwere der gefundenen Anfälligkeit und dem betroffenen Produkt. Einen Fehler in Googles eigenen Webdiensten, der einen direkten Zugriff auf Googles Server oder die Übernahme eines Google-Kontos erlaubt, belohnt das Unternehmen beispielsweise mit bis zu 20.000 Dollar. Für schwerwiegende Lücken in Open-Source-Projekten gibt es bis zu 10.000 Dollar, für eine erfolgreiche Umgehung der Chrome-Sandbox bis zu 15.000 Dollar.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.