Insgesamt zwei Millionen US-Dollar für Google-Lücken

Im Rahmen von Googles Belohnungsprogrammen für Schwachstellen-Jäger (Vulnerability Rewards Program) wurden inzwischen über zwei Millionen US-Dollar ausgezahlt, verkündet der Konzern in seinem Sicherheitsblog. Die Summe fällt in ungefähr gleichen Teilen auf die Programme für den Kern des Chrome-Browers (Chromium, einschließlich den Gewinnprämien des Pwnium-Wettbewerbs) sowie Googles Web-Applikationen.

Auch wenn diese Summe auf den ersten Blick hoch erscheint, wurde sie doch sehr effizient eingesetzt, da das Unternehmen nur im Erfolgsfall zahlt. So wurden über 2000 Bug-Reports von Google belohnt und die dazugehörigen Sicherheitslücken geschlossen. In den Kommentaren zu dem Blog-Eintrag erklärt Googles Vice President of Security, Eric Grosse: "Zwei Millionen US-Dollar sind sehr günstig im Vergleich zu dem Gewinn an Sicherheit. Man kann mit Leichtigkeit viel höhere Summen in kommerzielle Tools und Dienstleistungen investieren und weniger davon profitieren".

Um Sicherheitsforschen einen Anreiz zu bieten, neu entdeckte Schwachstellen im Chromium-Projekt direkt an Google zu melden, hat das Unternehmen eine weitere Option auf eine Erhöhung des Finderlohns geschaffen. Für Sicherheitslücken, für die der Finder bislang 1000 US-Dollar kassiert hat, will Google künftig bis zu 5000 US-Dollar springen lassen, wenn von ihnen eine signifikante Bedrohung für die Sicherheit der Browser-Nutzer ausgeht. Die vor einem Jahr eingeführten Zusatzboni, die ein Forscher etwa für das Einreichen eines passenden Exploits erhält, bleiben weiterhin bestehen.

Google hat sein Belohnungsprogramm für Chromium-Schwachstellen Anfang 2010 ins Leben gerufen. Das Schwesterprogramm für Web-Dienste ging im Winter des gleichen Jahres an den Start. (rei)