Patch-Prämien: Google zahlte Sicherheitsforschern 2014 über 1,5 Millionen Dollar

Google hat erstmals detaillierte Zahlen zu seinem Patch-Prämienprogramm veröffentlicht. 2014 zahlte es Sicherheitsforschern, die Details zu Schwachstellen in unterschiedlichen Google-Produkten gemeldet haben, insgesamt mehr als 1,5 Millionen Dollar. Die höchste einzelne Belohnung belief sich einem Blogeintrag zufolge auf 150.000 Dollar. Der Empfänger habe danach ein Praktikum bei Google angetreten.

Insgesamt schüttete Google im vergangenen Jahr Prämien an mehr als 200 unterschiedliche Forscher aus, die Details zu mehr als 500 Bugs übermittelt haben. Mehr als die Hälfte aller Fehler in Chrome, die Google honoriert hat, steckten in den Beta- und Developer-Versionen des Browsers. Google sei deswegen in der Lage gewesen, viele Löcher zu stopfen, bevor sie den Stable Channel und damit die Mehrheit der Nutzer erreichten.

Google hatte das Prämienprogramm für Sicherheitslücken 2010 ins Leben gerufen. Seitdem zahlte es mehr als 4 Millionen Dollar an Forscher aus. Ab diesem Jahr sind nun auch alle mobilen Anwendungen, die Google selbst entwickelt und über Google Play oder Apples App Store anbietet, Bestandteil des Vulnerability Reward Program. Bisher deckte es neben Chrome und Chrome OS auch Chrome-Apps und –Erweiterungen, Open-Source-Projekte und die eigenen Websites ab.

Darüber hinaus unterstützt Google Forscher neuerdings schon während ihrer Arbeit. Sie sollen dem Internetkonzern bei der Suche nach bestimmten Anfälligkeiten in bestimmten Produkten und Diensten helfen. Dafür erhalten sie, noch bevor sie einen Fehler entdeckt haben, eine Prämie von bis zu 3133,70 Dollar. Sollten sie dann tatsächlich eine neue Schwachstelle finden, gibt es dafür anschließend noch die übliche Belohnung.

„Die Bemühungen der Forscher in Kombination mit unserer eigenen internen Arbeit macht es immer schwieriger, Fehler zu finden“, schreibt Security Engineer Eduardo Vela Nava in Googles Online Security Blog. „Das sind natürlich gute Nachrichten, sie können aber auch entmutigend sein, wenn Forscher Zeit investieren und sich abrackern, um neue Probleme zu finden.“ Aus diesem Grund habe Google nun die „Vulnerability Research Grants“ eingeführt. „Dabei handelt es sich um eine Vorab-Belohnung für Forscher, bevor sie einen Fehler einreichen.“

Die Höhe einer Prämie richtet sich generell nach der Schwere der gefundenen Anfälligkeit und dem betroffenen Produkt. Einen Fehler in Googles eigenen Webdiensten, der einen direkten Zugriff auf Googles Server oder die Übernahme eines Google-Kontos erlaubt, belohnt das Unternehmen beispielsweise mit bis zu 20.000 Dollar. Für schwerwiegende Lücken in Open-Source-Projekten gibt es bis zu 10.000 Dollar, für eine erfolgreiche Umgehung der Chrome-Sandbox bis zu 15.000 Dollar.

Die meisten Bugs haben 2014 europäische Forscher eingereicht (Bild: Goolge).

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago