Menü

Google belohnt auch Sicherheitsforscher, die keine Lücken finden

Wer nach neuen Schwachstellen sucht, weiß nie, ob sich die investierte Zeit rechnet. Bei traditionellen Bug Bounties winkt schließlich nur im Erfolgsfall Bares. Google experimentiert nun mit einem neuen Ansatz.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge
Von

Google will künftig im Rahmen seines Vulnerability Research Grant-Programms Sicherheitsexperten auch dann belohnen, wenn sie Google-Produkte auf Herz und Nieren überprüfen, dabei aber keine neuen Schwachstellen finden. Das Unternehmen plant, eine Reihe von Aufträgen auszuschreiben, die mit bis zu 3133,70 US-Dollar dotiert sind. Dabei geht es darum, die Sicherheit neuer Produkte abzuklopfen. Aber auch jene, die besonders sicherheitsrelevant sind, stehen im Fokus. Außerdem sollen die Teilnehmer überprüfen, ob eine bereits geschlossene Lücke möglicherweise noch an anderen Stellen in ähnlicher Form klafft.

Der Suchmaschinenriese bezeichnet das Programm als Experiment und will damit zunächst Sicherheitsforscher ins Boot holen, die bereits Lücken an das Unternehmen gemeldet haben. Der Zeitaufwand, den ein Teilnehmer aufbringen soll, wird zusammen mit der Prämie bekanntgegeben. Nach Abschluss der Analyse müssen die Forscher einen Fragebogen ausfüllen. Wer während des Auftrags eine bisher unbekannte Sicherheitslücke entdeckt, kann sie separat beim Vulnerability Reward Program einreichen und soll darüber auch zusätzlich belohnt werden.

Zudem gab Google bekannt, dass das Vulnerability Reward Program nun alle Mobil-Apps abdeckt, die über Google Play oder iTunes verteilt werden. Wer eine Lücke in den Google-Apps entdeckt, die den Teilnahmebedingungen entsprechen, darf sich über eine Finanzspritze aus Mountain View freuen. Im vergangenen Jahr hat das Unternehmen nach eigenen Angaben über 1,5 Millionen US-Dollar an über 200 Sicherheitsforscher verteilt, die über 500 Bugs gemeldet haben. Die größte Auszahlung betrug 150.000 US-Dollar. (rei)