Bug-Bounty-Programm: Sicherheitsforscher sollen Googles Cloud quälen

Ab sofort können Sicherheitsforscher Googles Clouddienste auf Sicherheit abklopfen und bei Erfolg Geldprämien einstreichen.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Server in der MItte, Verbindungen zu darum herumstehenden Clients, VerschlĂĽsselungssymbole

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.

Um die Sicherheit seiner Cloud-Dienste zu verbessern, hat Google ein neues Bug-Bounty-Programm gestartet. Dabei können Sicherheitsforscher bis zu 100.000 US-Dollar für das Entdecken einer Sicherheitslücke kassieren. Das geht aus einem aktuellen Beitrag hervor.

Das Ziel ist es, Sicherheitslücken vor Angreifern zu entdecken und die Schwachstellen zu schließen. Google gibt an, dass Sicherheitsforscher ab sofort mehr als 150-Cloudservices unter die Lupe nehmen können, die sensible Nutzerdaten verarbeiten. Darunter sind Dienste wie Cloud Scheduler, Looker und Vertex AI.

In einem Beitrag hat Google die Spielregeln für das Bug-Bounty-Programm zusammengetragen. Nur wenn sich Sicherheitsforscher daran halten, haben sie Anspruch auf eine Geldprämie. Beispielsweise zählen Attacken durch Sicherheitslücken in veralteten Browser-Plug-ins nicht.

Erfüllt ein Bericht eines Sicherheitsforschers die Anforderungen und entdeckt er in einem Cloud-Produkt auf Tier 1 eine Schadcode-Lücke, winken maximal 101.010 US-Dollar. Auch die Qualität eines Reports zu einer Lücke beeinflusst die Höhe des Geldbetrags. Wichtig ist vor allem eine nachvollziehbare Beschreibung, sodass die Google-Techniker den Bug nachvollziehen können. Hinweise zu Schwachstellen reichen Sicherheitsforscher über ein Onlineformular ein.

FĂĽr andere Google-Produkte wie Android und Chrome gibt es jeweils eigene Bug-Bounty-Programme. Wer etwa aus dem Hypervisor von Android ausbricht, kann maximal 250.000 Dollar einstreichen. Im Jahr 2023 hat Google eigenen Angaben zufolge zehn Millionen Dollar an Sicherheitsforscher fĂĽr das Auffinden von Softwareschwachstellen ausgezahlt.

(des)