Googles Bug Bounty zahlt 2023 zehn Millionen Dollar aus

Google hat 2023 zehn Millionen US-Dollar als Belohnung für gemeldete Sicherheitslücken ausgeschüttet. Es ist der zweithöchste Wert seit Auflage des "VRP".​

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Google-Schriftzug an weiĂźer Wand

(Bild: testing/Shutterstock.com)

Lesezeit: 2 Min.

632 Personen aus 68 Ländern hat Google im Jahr 2023 dafür belohnt, Sicherheitslücken korrekt gemeldet zu haben. Sie haben insgesamt zehn Millionen US-Dollar erhalten (aktuell 9,15 Millionen Euro). Das ist der zweithöchste Wert in der Geschichte des "Vulnerability Reward Program" (VRP), wie Google seine Bug Bounty nennt.

Der Rekord datiert aus dem Jahr davor, 2022. Damals zahlte Googles Bug Bounty zwölf Millionen US-Dollar an 703 IT-Sicherheitsforscher aus. Sie meldeten damals insgesamt 2.900 Sicherheitslücken. Wieviele Lücken die 632 erfolgreichen Teilnehmer 2023 insgesamt gemeldet haben, verrät der Datenkonzern in seiner Statistik nicht. Seit Anbeginn, was hier 2010 anno domini bedeutet, hat Google nach eigenen Angaben in Summe 59 Millionen Dollar für korrekt gemeldete Sicherheitslücken springen lassen.

Google lässt sich laufend Neues einfallen, um die Aufmerksamkeit der Sicherheitsforscher erstens auf sich selbst und zweitens auf bestimmte Bereiche zu lenken. Denn es wäre wohl deutlich teurer, die Sicherheitslücken nur mit eigenen Angestellten aufzustöbern.

Neu hinzugekommen sind 2023 Bug Bountys für Sicherheitsprobleme bei Wear OS sowie für bestimmte Android-Apps aus dem Alphabet-Konzern, zu dem neben Google beispielsweise Fitbit, Nest Labs und Waymo gehören. Für Android hat Google die maximale Belohnung für einen einzelnen Beitrag auf 15.000 US-Dollar angehoben; in anderen Bereichen winken deutlich höhere Preise. Die höchste Bug Bounty im Berichtsjahr belief sich auf 113.337 US-Dollar (aktuell rund 103.700 Euro).

Ein Drittel der gesamten Jahresausschüttung ist auf das Betriebssystem Android entfallen, ein Fünftel auf den Webbrowser Chrome. Auch für das Einmelden sicherheitsrelevanter Probleme bei Künstlicher Intelligenz lobt Google Belohnungen aus. Im Herbst hat die Entwicklungsabteilung Google Engineering klargestellt, welche Unzulänglichkeiten dafür infrage kommen und welche nicht.

(ds)