Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt
Google hat bekannt gegeben, dass das Unternehmen seit Start des Bug-Bounty-Programms im Jahr 2010 mehr als 15 Millionen US-Dollar an Sicherheitsforscher für die Entdeckung von Sicherheitslücken in den Diensten und Programmen des Unternehmens bezahlt hat. Allein im letzten Jahr wurden dabei 3,4 Millionen US-Dollar ausbezahlt.
Die 3,4 Millionen US-Dollar verteilten sich im Jahr 2018 auf 317 verschiedene Sicherheitsforscher für 1.319 gemeldete Sicherheitslücken. Die höchste einzelne Belohnung lag im Jahr 2018 bei 41.000 US-Dollar. Je nach Risikoeinstufung der aufgedeckten Lücke liegen die möglichen Belohnungen in Googles Programm zwischen 100 US-Dollar und 200.000 US-Dollar, wobei 200.000 US-Dollar beispielsweise für eine schwerwiegende Lücke in Android gezahlt werden, während für diese Lücke in Chrome OS 100.000 US-Dollar Belohnung winken.
Google investiert immer mehr in das Finden von Lücken
Allein 1,7 Millionen der 3,4 Millionen US-Dollar entfielen dabei im vergangenen Jahr auf aufgedeckte Fehler in Android und Chrome. Das Jahr zuvor hatte Google noch 2,9 Millionen US-Dollar an 274 Sicherheitsforscher ausgezahlt. Bei einem Bug-Bounty-Programm lobt ein Unternehmen Sach- oder Geldpreise für die Identifizierung, Behebung oder Bekanntmachung von Fehlern in Software aus, damit diese vertraulich an das Unternehmen gemeldet anstatt öffentlich gemacht oder an Dritte verkauft werden.
Gewinner des „Security and Privacy Research Awards 2018“
Gleichzeitig hat Google die Gewinner der „Security and Privacy Research Awards“ für 2018 bekannt gegeben. Hiermit würdigt Google Wissenschaftler, die mit ihrer Forschung wichtige Beiträge in den jeweiligen Bereichen geleistet haben. Insgesamt zahlte Google mehr als 500.000 US-Dollar an die Universitäten der Wissenschaftler. Mit Thorsten Holz ist auch die Ruhr-Universität Bochum vertreten.
- Alina Oprea, Northeastern University: Cloud-Sicherheit
- Matthew Green, Johns Hopkins: Cryptography
- Thorsten Holz, Ruhr-Universität Bochum: Systems Security
- Alastair Beresford, Cambridge: Usable security and privacy, mobile security
- Carmela Troncoso, École Polytechnique Usable de Lausanne: Privacy / Security ML
- Rick Wash, Michigan State University: Usable Privacy and Security
- Prateek Saxena, National University of Singapore: ML / Web security
Apple zahlt nichts für Fehler in macOS
Apple war zuletzt wegen des eigenen Bug-Bounty-Programms in die Kritik geraten, weil das Unternehmen zwar ein Preisgeld für die Entdeckung von Fehlern in dem mobilen Betriebssystem iOS auslobt, nicht aber für Fehler im Desktop-Betriebssystem macOS, weshalb sich ein Entwickler zuletzt öffentlich dazu entschieden hatte, eine von ihm entdeckte Sicherheitslücke beim Zugriff auf die Passwörter in der Keychain in macOS nicht an Apple zu kommunizieren, weil er dafür keine Gegenleistung erhalten würde.