Patch-Prämien: Google zahlte Sicherheitsforschern 2014 über 1,5 Millionen Dollar

Google hat erstmals detaillierte Zahlen zu seinem Patch-Prämienprogramm veröffentlicht. 2014 zahlte es Sicherheitsforschern, die Details zu Schwachstellen in unterschiedlichen Google-Produkten gemeldet haben, insgesamt mehr als 1,5 Millionen Dollar. Die höchste einzelne Belohnung belief sich einem Blogeintrag zufolge auf 150.000 Dollar. Der Empfänger habe danach ein Praktikum bei Google angetreten.

Insgesamt schüttete Google im vergangenen Jahr Prämien an mehr als 200 unterschiedliche Forscher aus, die Details zu mehr als 500 Bugs übermittelt haben. Mehr als die Hälfte aller Fehler in Chrome, die Google honoriert hat, steckten in den Beta- und Developer-Versionen des Browsers. Google sei deswegen in der Lage gewesen, viele Löcher zu stopfen, bevor sie den Stable Channel und damit die Mehrheit der Nutzer erreichten.

Google hatte das Prämienprogramm für Sicherheitslücken 2010 ins Leben gerufen. Seitdem zahlte es mehr als 4 Millionen Dollar an Forscher aus. Ab diesem Jahr sind nun auch alle mobilen Anwendungen, die Google selbst entwickelt und über Google Play oder Apples App Store anbietet, Bestandteil des Vulnerability Reward Program. Bisher deckte es neben Chrome und Chrome OS auch Chrome-Apps und –Erweiterungen, Open-Source-Projekte und die eigenen Websites ab.

Darüber hinaus unterstützt Google Forscher neuerdings schon während ihrer Arbeit. Sie sollen dem Internetkonzern bei der Suche nach bestimmten Anfälligkeiten in bestimmten Produkten und Diensten helfen. Dafür erhalten sie, noch bevor sie einen Fehler entdeckt haben, eine Prämie von bis zu 3133,70 Dollar. Sollten sie dann tatsächlich eine neue Schwachstelle finden, gibt es dafür anschließend noch die übliche Belohnung.

„Die Bemühungen der Forscher in Kombination mit unserer eigenen internen Arbeit macht es immer schwieriger, Fehler zu finden“, schreibt Security Engineer Eduardo Vela Nava in Googles Online Security Blog. „Das sind natürlich gute Nachrichten, sie können aber auch entmutigend sein, wenn Forscher Zeit investieren und sich abrackern, um neue Probleme zu finden.“ Aus diesem Grund habe Google nun die „Vulnerability Research Grants“ eingeführt. „Dabei handelt es sich um eine Vorab-Belohnung für Forscher, bevor sie einen Fehler einreichen.“

Die Höhe einer Prämie richtet sich generell nach der Schwere der gefundenen Anfälligkeit und dem betroffenen Produkt. Einen Fehler in Googles eigenen Webdiensten, der einen direkten Zugriff auf Googles Server oder die Übernahme eines Google-Kontos erlaubt, belohnt das Unternehmen beispielsweise mit bis zu 20.000 Dollar. Für schwerwiegende Lücken in Open-Source-Projekten gibt es bis zu 10.000 Dollar, für eine erfolgreiche Umgehung der Chrome-Sandbox bis zu 15.000 Dollar.

Die meisten Bugs haben 2014 europäische Forscher eingereicht (Bild: Goolge).

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago