Google hat mit seinen Bug Bounty-Programmen und dem Vulnerability Reward Program schon gute Erfahrungen gemacht und so viele kritische Sicherheitslücken stopfen können. Vor genau einem Jahr wurde auch Android aufgenommen und zum Abschuss freigegeben. Jetzt blickt man auf das vergangenen Jahr zurück und nennt viele Statistiken rund um die gefundenen Bugs und die ausgezahlten Summen.
Mit dem Vulnerability Reward Program (VRP) betreibt Google seit über fünf Jahren ein erfolgreiches Bug Bounty-Programm, mit dem indirekt die Sicherheit der eigenen Produkte gesteigert wird. Da es im vergangenen Jahr keine Meldung einer schweren Sicherheitslücke in Chrome OS gegeben hat, erhöht Google den Anreiz: Wer eine schwere Lücke in dem Betriebssystem findet, kann ab sofort bis zu 100.000 Dollar dafür bekommen.
Vor über fünf Jahren hat Google das Vulnerability Reward Program (VRP) gestartet, mit dessen Hilfe die eigenen Angebote sichern werden und besser vor bösartigen Angriffen geschützt werden sollen. Im Rahmen des Programms kann jeder Nutzer entdeckte Sicherheitslücken in Google-Angeboten einreichen und dafür hohe Prämien vom Unternehmen kassieren. Zu Anfang des Jahres wurde nun ein Rückblick veröffentlicht, der zeigt wie sehr sich das Programm für beide Seiten lohnt. Allein im vergangenen Jahr wurden 2 Millionen Dollar ausgezahlt.
Im Rahmen des Bug Bounty-Programms zahlt Google seit vielen Jahren eine Prämie für gemeldete Sicherheitslücken in den eigenen Produkten und hat Anfang diesen Jahres ein neues Programm gestartet, mit dem man den Bugjägern auch die Arbeitszeit zur Auffindung bezahlt. Jetzt hat ein Teilnehmer dieses Programms eine schwere Lücke in YouTube entdeckt mit der es ohne großen Aufwand möglich gewesen ist, JEDES beliebige YouTube-Video ohne Berechtigung zu löschen. Nachdem Google die Lücke gestopft hat, veröffentlicht Kamil Hismatullin nun seine Vorgehensweise.
Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.