Wer Fehler findet, kriegt von Google jetzt bis zu 300.000 US-Dollar

Google ist sehr zufrieden mit den Nutzerhinweisen, die man im Rahmen des eigenen Bug-Bounty-Programms erhält. Jetzt werden deshalb die Prämien für das Finden von Fehlern drastisch erhöht. Wer richtig schwere Lücken entdeckt, bekommt bis zu zehnmal mehr Geld. Vor genau einem Jahr hatte Google das "Mobile Vulnerability Reward Program" (VRP) ins Leben gerufen, jetzt zieht das Bughunter-Team eine positive Bilanz und gibt große Anpassungen an der Belohnungsstruktur bekannt. Wie man in einem Blogbeitrag schreibt, wurden im letzten Jahr für über 40 Hinweise auf Lücken in Android-Apps fast 100.000 US-Dollar Belohnung ausgezahlt.

Wie das Team betont, sieht man das vor einem Jahr ausgerufene Ziel als erfüllt an, mithilfe der Community "Schwachstellen in Erstanbieter-Android-Anwendungen zu reduzieren". Allerdings habe man das Feedback erhalten, dass die "Anerkennung der Leistungen und der harten Arbeit" der unabhängigen Bughunter bisher nicht ausreicht.

Zwei große Anpassungen

Deshalb hat das Unternehmen große Anpassungen für das VRP bekannt gegeben. Die Belohnungsbeträge, die für die Meldung von Fehlern ausbezahlt werden, wurden um das bis zu 10-fache erhöht. Damit steigt etwa die Belohnung für das Aufdecken einer Remote Code Execution-Lücke in sogenannten Tier-1-Apps wie Gmail von 30.000 auf 300.000 US-Dollar.

Um die Top-Prämien zu erhalten, müssen Bughunter in Zukunft aber etwas mehr Vorarbeit leisten, denn Google führt "qualitätsbasierte Be­loh­nungs­mo­di­fi­ka­to­ren" ein. Wichtig ist dem Unternehmen, dass die unabhängigen Berichte möglichst genau aufzeigen, wie die entdeckten Lücken ausgenutzt werden können. Bei "außergewöhnlicher Qualität" gibt es die 1,5-fache Belohnung, bei "geringer Qualität" wird die Prämie halbiert.


Siehe auch: