Bargeld lacht: Google zahlt für gefundene Sicherheitslücken bis zu 20.000 Dollar!
Ich will jetzt nicht behaupten, dass Google in Geld schwimmt – ach, was rede ich… natürlich schwimmen die in Geld! Man kann vielleicht nicht ganz so auf dicke Hose machen wie die Kollegen von Apple, aber Multi-Milliardär Larry Page kann sich ruhig mal gute Butter statt der Billig-Margarine leisten, ohne dass gleich die Bank anruft.
Worauf ich hinaus will: Wenn Google was möchte, dann kann man durchaus mal zwei, drei Dollar in die Hand nehmen – egal, ob man einen Angestellten haben möchte, sich ein neues Unternehmen/Start-Up einverleibt, oder – und darüber reden wir hier gerade – ob man Fehler ausmerzen möchte. Ist nichts Neues, dass Google nämlich ein paar Scheine auf den Tisch legt, wenn man den Jungs eine Sicherheitslücke in einem ihrer Dienste vorweisen kann.
Bislang hat man hier zwischen 500 und 3133.70 Dollar raus gehauen, was für ein helles Nerd-Köpfchen ja durchaus schon ein feines Zubrot ist, dafür dass man Google auf eine Lücke hinweist. Scheinbar ist man aber im Unternehmen der Meinung, dass das noch nicht so ganz ausreicht und hat sein Prämien-System überarbeitet und lockt nun mit Belohnungen bis zu 20.000 Dollar.
Diese Prämien warten auf euch, wenn ihr auf Google, Orkut (jau, gibt’s noch), Blogger oder YouTube fündig werdet in euer Sicherheitslücken-Mission. Weiterhin außen vor: Android und Anwendungen wie Picasa oder Sketchup. In einem Blog-Beitrag erzählt man uns nicht nur, wie viel Kohle man für dieses Projekt letztes Jahr verpulvert hat (über 460.000 Dollar wurden an mehr als 200 Menschen ausgeschüttet), sondern zeigt uns auch auf, wie dieses System künftig gestaffelt ist.
- $20,000 for qualifying vulnerabilities that the reward panel determines will allow code execution on our production systems.
- $10,000 for SQL injection and equivalent vulnerabilities; and for certain types of information disclosure, authentication, and authorization bypass bugs.
- Up to $3,133.7 for many types of XSS, XSRF, and other high-impact flaws in highly sensitive applications.
Schade, dass ich nicht nen blassen Schimmer habe – auf der Suche nach Sicherheitslücken wäre ich sonst gerne dabei. Sollte Google mit dieser Prämien-Erhöhung nun für sowas wie einen Goldrush unter IT-Füchsen sorgen, wäre es wohl durchaus im Sinne des Unternehmens und würde dazu beitragen, die Dienste noch weiter nach vorne zu bringen.
Haha, eine solche Aktion dürfte crApple aber nicht starten, denn sonst wären selbst die enormen Geldreserven in der Höhe von 100 Mrd. Dollar schwuppdiwupp aufgebraucht.
Auch die 20k $ machen Google nicht wirklich arm. Hab ich das nicht sogar hier im Blog gelesen, dass Google eine „Strafe“ von 25k $ bei einem Prozess neulich nicht so wirklich stört, da sie diesen Betrag in etwa 20 Sekunden einnehmen?
Warum eigentlich bei Google immer 3133,70 Dollar? Hat die Zahl eine Bedeutung, die ich nicht kenne?
@ JSG
http://de.wikipedia.org/wiki/Leetspeak
@Sepp:
Danke. Dachte ich mir schon, konnte nur nichts erkennen… Tja, nicht nerdy genug.
Schade dass das nicht üblich ist! Würde den Hackern endlich vernüftig täglich Brot bescheren…
In dieser Hinsicht muss ich Google echt mal loben. Wenn andere Firmen folgen würden währen viele Dienste um einiges sicherer.
Ein Problem, wie bereits von @CuBe angesprochen, ist aber das ein Drittanbieter vielleicht mehr zahlen würde.
hmm funktioniert google.de und google.at bei euch?
sicher doch
bei mir nicht 🙁
Mit der richtigen Lücke verdient man auf dem „Schwarzmarkt“ sicher mehr als 20.000$. Daher finde ich es gut, das Google langsam die Belohnung hochschraubt, denn der Imageverlust und Schaden ist sicher höher wenn so eine Sicherheitslücke aktiv ausgenutzt würde.
Sicherheitslücke gefunden! = Enduser
@Wasnlos
Dann muss es wohl oder übel an deinem System liegen.
Um Sicherheitslücken bei google zu finden ist ein haufen Arbeit und nicht so einfach wie man es sich vielleicht vorstellt. Das bedarf zu dem an Erfahrung und viele Ideen und gutes Wissen.
Aber was ja nicht unbedingt nur lockt sind die 20.000$, vielleicht hat man bei einem Fund auch die Option bei google in der QA einzusteigen, was dann den Wert einer Lücke auf dem Schwarzmarkt wieder übertreffen dürfte.
Gerade bei einer solchen Summer würde ich mehr von einem Headhunting statt einem täglich Brot sprechen.