Bug-Bounty: Google legt noch ein paar Scheine drauf
Die Preise für Sicherheitslücken sind auf dem Schwarzmarkt gestiegen – nicht zuletzt, weil Regierungsorganisationen dort kräftig mitmischen. Google passt nun erneut seine Bug-Bounty-Regeln an und will für einige Lücken etwas mehr zahlen.
Google zahlt jetzt mehr für Cross-Site-Scripting-Lücken, Sicherheitslücken in Authentifizierungssystemen und für mögliche Informationslecks. Wie Adam Mein und Michal Zalewski vom Google Sicherheitsteam in einem Blogpost betonen, soll damit die Fehlersuche in besonders wichtigen Google-Anwendungen unterstützt werden. Das Unternehmen hat damit seine Bug-Bounty-Zahlungen erneut angepasst.
Für Cross-Site-Scripting-Lücken (XSS) auf https://accounts.google.com werden nun 7500 statt 3133,70 US-Dollar gezahlt. Für Schwachstellen bei den Diensten Gmail und Google Wallet nun 5000 statt 1337 US-Dollar. XSS-Lücken auf anderen Google-Seiten werden mit 3133,70 statt vormals 500 US-Dollar belohnt. Werden signifikante Sicherheitslücken zum Umgehen von Authentifizierungen und Informationslecks gemeldet, werden nun 7500 statt 5000 US-Dollar ausgezahlt.
Seit Google sein Bug-Bounty-Programm im November 2010 startete, soll das Unternehmen insgesamt 828.000 US-Dollar an mehr als 250 Personen ausgezahlt haben. Seitdem sollen rund 1500 brauchbare Berichte zu Schwachstellen eingegangen sein. Dass die Preise für Exploits auf dem Schwarzmarkt – nicht zuletzt durch die Aktivitäten von Regierungsorganisationen – gestiegen sind und Hersteller dadurch weniger von Schwachstellen erfahren, dürfte Googles Entscheidung für eine erneute Steigerung der Belohnungen vermutlich beeinflusst haben. (kbe)
