Bug Bounty: Google hat 2017 knapp 3 Millionen Dollar für Bugs in Android, Chrome & Co. ausbezahlt

google 

Schon seit vielen Jahren betreibt Google das Vulnerability Reward-Programm, mit dem man Entwicklern und Hackern eine Prämie für das Entdecken und Melden von Sicherheitslücken in Google-Produkten auszahlt. Zum Jahresanfang blickt das Team hinter diesem Programm erneut auf das vergangenen Jahr zurück und hat nun verraten, wie viel Geld im Jahr 2017 ausgezahlt worden ist.


Das Vulnerability Reward-Programm ist ein Win-Win-Win-Projekt für alle Seiten: Hacker können sich dadurch auf legalem Wege durch das knacken von Software (sehr) viel Geld verdienen. Google profitiert davon, dass die eigenen Projekte noch sicherer werden und Sicherheitslücken nicht ausgenutzt werden. Und am Ende profitiert davon natürlich auch der Endnutzer, der sichere Software einsetzen kann.

Google Vulnerability Reward Program 2016

Im vergangenen Jahr 2017 wurden insgesamt 2,9 Millionen Dollar für Sicherheitslücken ausgezahlt, die von Dritt-Entwicklern in Google-Produkten entdeckt worden sind. Die knapp 3 Millionen Dollar wurden für insgesamt 1.230 entdeckte Lücken ausgezahlt und sind auf die Konten von 274 Personen geflossen – die von diesem „Hobby“ teilweise sehr gut leben können. Die höchste Einzelauszahlung lag bei 112.500 Dollar und wurde für eine in den Pixel-Smartphones entdeckte Sicherheitslücke ausgezahlt.

Im Jahr 2017 hatte Google etwas weniger Geld als im Jahr 2016 in die Hand nehmen müssen, denn vor einem Jahr wurden noch 3 Millionen Dollar ausgezahlt. Wenn in einem Bereich lange Zeit keine Lücke entdeckt wird, greift Google häufig zu dem Mittel, einfach die Prämie stark zu erhöhen und somit die Motivation zu steigern. Und so lange es noch immer bei keiner entdeckten Lücke bleibt, darf man die eigenen Produkte als Festung bezeichnen.

Einem Nutzer ist der Königs-Hack gelungen, Zugriff auf eine Google-interne Datenbank zu bekommen und somit frühzeitig über alle Sicherheitslücken in allen Details informiert zu sein. Doch für diese Lücke wurden „nur“ 15.600 Dollar ausgezahlt, da sie nicht in einem hochrangigen Produkt wie Chrome, Android oder einem Core-Google-Dienste enthalten war. Details zu diesem Hack findet ihr in diesem Artikel.

» Ankündigung im Google Online Security-Blog
» Alle Artikel um die Vulnerability Rewards


Teile diesen Artikel:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.