Vulnerability Reward: Google zahlt bis zu 20.000 Dollar für Sicherheitslücke

Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.

Google zahlt 20.000 Dollar für das auffinden einer Sicherheitslücke, welche es ermöglicht eigenen Code auf einem Google-Server auszuführen – also der schwersten anzunehmenden Lücke. Wer es schafft eigenen SQL-Code einzuschleusen oder auf Daten ohne die entsprechende Berechtigung zuzugreifen bekommt bis zu 10.000 Dollar.

Wer eine andere Lücke, wie etwa XSS, in einem „hoch-sensitiven Dienst“ ausmacht, wird noch mit 3.133,70 Dollar belohnt. Für Sicherheitslücken in einem von Google übernommenen Dienst zahlt man nur noch 500 Dollar – allerdings auch erst frühestens 6 Monate nach der Übernahme, so dass Google genügend Zeit hat sich den Code selbst abzusichern.

Außerdem werden Sicherheitslücken und deren Prämie auch nach der Sensibilität der Dienste gerankt: Als Beispiel gibt man an, dass eine Sicherheitslücke in Googles Bezahlsystem Wallet natürlich sehr viel mehr wert ist als eine im Art Project.

460.000 Dollar ausbezahlt
In den vergangenen eineinhalb Jahren wurden 780 Sicherheitslücken von ca. 200 Personen eingereicht – genauere Details gibt Google natürlicht nicht bekannt. An diese 200 Personen wurden insgesamt bereits 460.000 Dollar ausbezahlt – ein Schnäppchen für Google, wenn man bedenkt wieviele Folgekosten eine schwere Sicherheitslücke mit sich bringen kann – allein schon das erschütterte Vertrauen der User.

» Ankündigung im Security-Blog

---

---