Vulnerability Reward Program: Google hat bereits 6 Millionen Dollar für gemeldete Sicherheitslücken bezahlt
Vor über fünf Jahren hat Google das Vulnerability Reward Program (VRP) gestartet, mit dessen Hilfe die eigenen Angebote sichern werden und besser vor bösartigen Angriffen geschützt werden sollen. Im Rahmen des Programms kann jeder Nutzer entdeckte Sicherheitslücken in Google-Angeboten einreichen und dafür hohe Prämien vom Unternehmen kassieren. Zu Anfang des Jahres wurde nun ein Rückblick veröffentlicht, der zeigt wie sehr sich das Programm für beide Seiten lohnt. Allein im vergangenen Jahr wurden 2 Millionen Dollar ausgezahlt.
Google dürfte eine nicht unerhebliche Anzahl an Sicherheitsforschern beschäftigen, die dafür sorgen dass die eigenen Angebote sicher sind und kein Ziel von Hackerangriffen werden. Bisher machen diese einen sehr guten Job und in der Vergangenheit hat es noch nie einen größeren Hack bei einem Angebot des Unternehmens gegeben. Damit das so bleibt, setzt man seit einigen Jahren auch auf Hilfe von außen, die vielleicht durch völlig andere Ansätze in die System eindringen können.
Seit Bestehen des Programms wurden bereits mehr als 6 Millionen Dollar an die Finder von Sicherheitslücken ausbezahlt. Im vergangenen Jahre war dies für Hobby-Hacker besonders lukrativ, denn allein im Jahr 2015 wurden 2 Millionen Dollar ausbezahlt. Insgesamt wurden bereits mehr als 750 Lücken mit einer Prämie ausgezeichnet, die von über 300 verschiedenen Einreichern stammen. Im Durchschnitt reicht also jeder Entdecker 2 Sicherheitslücken ein, die dann tatsächlich auch von Google prämiert werden.
Ein großen Anteil an der Summe des vergangenen Jahres hatte das mobile Betriebssystem Android, das erst im Juni in dieses Programm aufgenommen wurde. In diesen sechs Monaten wurden schon 200.000 Dollar an Prämien ausbezahlt, wobei die höchste Summe bei ganzen 37.500 Dollar für eine schwere Sicherheitslücke im Betriebssystem lag. Der mit Abstand erfolgreichste Bug-Jäger ist Tomasz Bojarski, der allein im vergangenen Jahr 70 Bugs (!) in Google-Angeboten gefunden hat. Wie viel er insgesamt dafür bekommen hat ist nicht bekannt. Sein kuriosester Fang im vergangenen Jahr dürfte es wohl sein, dass er eine Sicherheitslücke im Formular für das Vulnerability Reward Program gefunden hat.
Das VRP schließt alle Angebote auf den Domains google.com, youtube.com und auch blogger.com sowie alle offiziellen Google-Apps ein. Je nach Schwere der Lücke werden Beträge von 100 Dollar bis hin zu 20.000 Dollar ausgezahlt. Bei einigen Besonderheiten oder einer Kombination von mehreren Lücken kann die Summe auch erhöht werden. Erst vor wenigen Tagen ging wieder die Summe von 12.000 Dollar bzw. im ersten Schritt 6.006,13 (GOOGLE) Dollar durch die Schlagzeilen, die man für die Kaperung von google.com auf den Tisch gelegt und anschließend gespendet hat.
Viele IT-Unternehmen betreiben mittlerweile ähnliche Programme, und sorgen damit nicht nur für eine Absicherung der eigenen Angebote, sondern dürften es auch einigen selbsternannten Hobby-Sicherheitsforschern (wie Tomasz Bojarski) ermöglichen, ihr Leben zu finanzieren. Außerdem sind diese Programme ein Anreiz für Entdecker dieser Lücken, diese nicht anderweitig zu verkaufen.
» Ankündigung im Google Online Security Blog
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter