Bis zu 3133,7 US-Dollar für Lücken in Google-Diensten

Von leet zu eleet: Google dehnt sein Security Bug Bounty Program aus und bläst nun zum Angriff auf seine Webanwendungen. Gleichzeitig erhöht Google dort die höchste zu erreichende Prämie auf 3133,7 US-Dollar. Bisher galt des Programm nur für Lücken im Webbrowser Chrome; die höchste zu erreichende Prämie liegt dort von seltenen Ausnahmefällen abgesehen zwischen 500 und 1337 US-Dollar.

Das neue Programm umfasst alle Google-Dienste, die in den Domains google.com, youtube.com, blogger.com und orkut.com laufen. Insbesondere das Finden von Cross-Site-Scripting-, Cross-Site-Request-Forgery- und Cross-Site-Script-Inclusion-Lücken soll im Fokus stehen. Aber auch das Austricksen oder Umgehen von Authentifizierungs- und Autorisierungsfunktionen sollen Sicherheitsforscher aufs Korn nehmen.

Ausgenommen von der Schwachstellensuche sind Googles Unternehmensinfrastruktur, Social-Engineering-Attacken, Denial-of-Service-Schwachstellen und betrügerische Suchmaschinen-Optimierungsmanipulationen. Um die Verfügbarkeit der Dienste nicht zu beeinträchtigen, bittet Google darum, keine automatisierten Tests auf seine Server durchzuführen. Zudem sind Googles Software-Produkte Android, Picasa und Google Desktop weiterhin nicht Bestandteil des Fehlersuchprogramms.

Die höchste Prämie von 3133,7 US-Dollar gibt es nur für besonders clevere oder ungewöhnliche Lücken respektive Angriffe. Weitere Einzelheiten über die Modalitäten des Programms finden sich im Google Security-Blog. Google erhofft sich von dem Schritt, seine Dienste sicherer zu machen. (dab)