Google zahlt Sicherheitsforschern, die Lücken in Google-Diensten an das Unternehmen melden, ab sofort bis zu 20.000 US-Dollar. Zuvor hat der Suchmaschinenriese im Rahmen seines Vulnerability Reward Program maximal 3133,70 US-Dollar ausgezahlt. Nach wie vor behält sich Google vor, in Einzelfällen auch mehr zu zahlen. Die Höchstsumme zahlt Google, wenn es dem Forscher gelingt, eigenen Code auf einem Google-Server wie accounts.google.com auszuführen (Remote Code Execution).
10.000 US-Dollar zahlt Google für Lücken, durch die man beliebige SQL-Befehle in Server einschleusen kann (SQL-Injection). Für eine Lücke, durch die ein Angreifer die Authentifizierung umgehen oder persönliche Informationen abgreifen kann, sind ebenfalls 10.000 US-Dollar ausgeschrieben – allerdings nur, wenn sich diese auf einer Seite befindet, deren Adresse mit accounts.google.com beginnt.
Klafft die Lücke in anderen "hoch sensitiven Diensten" wie dem Bezahldienst Google Wallet, Google Mail oder Google Play (ehemals Google Market), zahlt das Unternehmen nur noch die Hälfte. Befindet sich die Lücke in einem anderen Google-Dienst, bringt sie noch 1,337 US-Dollar, in aufgekauften Diensten ist sie dem Unternehmen 500 US-Dollar wert; allerdings erst nach einer sechsmonatigen Schonfrist nach Übernahme. Die weiteren Details findet man direkt bei Google.
Google gibt an, eineinhalb Jahre, nachdem das Programm ins Leben gerufen wurde, insgesamt rund 460.000 US-Dollar an etwa 200 Personen ausgezahlt zu haben. Angesichts der möglichen Schadens, der womöglich durch die Lücken hätte entstehen können und der investierten Arbeitszeit der Sicherheitsexperten dürfte Google damit vergleichsweise günstig weggekommen sein.
Von über 1000 gemeldeten legitimen Schwachstellen, haben sich über 700 für eine Auszahlung qualifiziert. Rund die Hälfte der Lücken wurde nach Angaben von Google in Applikationen gefunden, die von 50 Unternehmen produziert wurden, die Google in der Vergangenheit übernommen hatte. (rei)
0 Kommentare:
Kommentar veröffentlichen