Vulnerability Reward Program: Google erhöht Prämie für Chrome OS-Hack auf 100.000 Dollar

chrome 

Mit dem Vulnerability Reward Program (VRP) betreibt Google seit über fünf Jahren ein erfolgreiches Bug Bounty-Programm, mit dem indirekt die Sicherheit der eigenen Produkte gesteigert wird. Da es im vergangenen Jahr keine Meldung einer schweren Sicherheitslücke in Chrome OS gegeben hat, erhöht Google den Anreiz: Wer eine schwere Lücke in dem Betriebssystem findet, kann ab sofort bis zu 100.000 Dollar dafür bekommen.


Erst vor wenigen Wochen hat Googles Sicherheitsteam eine Statistik veröffentlicht, laut der allein im vergangenen Jahr 2 Millionen Dollar ausbezahlt worden sind. Über die letzten fünf Jahre hat man dabei an über 300 Entdecker eine Summe von 6 Millionen Dollar für mehr als 750 entdeckte Sicherheitslücken ausgezahlt. Ein Spottpreis für vermeintliche sichere Software und vor allem Betriebssysteme, da ein erfolgreicher Hack sehr viel teurer wäre und einen Imageschaden provozieren würde.

google reward

Chrome OS gilt seit jeher als relativ sicher und konnte bisher kaum ernsthaft geknackt werden. Damit dies auch so bleibt, setzt Google auch weiterhin auf die Mithilfe von Freiwilligen, die sich mit nichts anderem als dem Hacken des Betriebssystems beschäftigen und dafür einen hohen „Lohn“ bekommen könnten. Da es im vergangenen Jahr keinen erfolgreichen Hack gegeben hat, erhöht das Sicherheitsteam nun den Anreiz und steigert die mögliche Summe von 50.000 auf 100.000 Dollar.

Diese Summe wird dann ausbezahlt, wenn es einem Nutzer gelingt, im Gastmodus die Kontrolle über das Betriebssystem Chrome OS zu übernehmen. Dabei gibt es auch keine Beschränkungen nach oben, wer also gleich mehrere Lücken findet, kann auch ein vielfaches der 100.000 Dollar ausbezahlt bekommen.



Außerdem gibt es noch eine neue Kategorie in diesem Bug Bounty-Programm, bei dem der Hacker für folgende Aktion bis zu 1.000 Dollar verdienen kann: Es muss lediglich eine Möglichkeit gefunden werden, Safe Browsing bei Downloads zu übergehen, so dass diese nicht vorher geprüft werden. Diese Kategorie gilt nicht nur für Chrome sondern auch für den Chrome-Browser für andere Betriebssysteme.

» Ankündigung im Google Online Security Blog

[futurezone]




Teile diesen Artikel:

Facebook twitter Pocket Pocket