Google: Bug-Bounty-Programm meldete über 2.900 Lücken im Jahr 2022, Prämien von 12 Mio. US-Dollar

In jedem Jahr fasst man bei Google zusammen, wie viele Sicherheitslücken das sogenannte Vulnerability Reward Program VRP über das Jahr verteilt melden und schließen konnte und wie viel Belohnungsgelder dadurch an teilnehmende Forscher ausgeschüttet werden konnten. Insgesamt seien so im vergangenen Jahr 2022 über 2.900 Sicherheitsprobleme gemeldet und behoben worden. An Prämien konnten dadurch im letzten Jahr mehr als 12 Mio. US-Dollar vergeben werden, 230.000 US-Dollar davon sind von den Prämierten an Wohltätigkeitsorganisationen gespendet worden.

Das Vulnerability Reward Program (VRP) von Google ist ein Programm, das darauf abzielt, Sicherheitslücken in den Produkten und Diensten von Google zu finden und zu beheben. Google belohnt dabei Personen, die Schwachstellen melden und dabei helfen, die Sicherheit der Produkte zu verbessern. Das Programm ist offen für jeden, der eine Sicherheitslücke in einem Google-Produkt oder -Dienst entdeckt und diese meldet. Google bietet für erfolgreiche Meldungen von Sicherheitslücken finanzielle Belohnungen an, je nach Schweregrad und Relevanz der gemeldeten Schwachstelle. Das VRP soll dazu beitragen, die Sicherheit der Nutzer von Google-Produkten zu erhöhen und das Vertrauen in die Marke zu stärken.

Dabei teilten sich die Prämien unter anderem folgendermaßen auf:

  • Android-VRP: 4,8 Mio. US-Dollar, höchstbezahlter Bericht: 605.000 US-Dollar
  • Android Chipset Security Reward Program: 486.000 US-Dollar
  • Chrome VRP: 4 Mio. US-Dollar
  • Open Source VRP: 110.000 US-Dollar
  • und weitere

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Oder anders ausgedrückt:
    Ist billiger als Qualitätssicherung und externe Pentester.

    • Das sind unabhängige externe Pentester, die vom VRP leben. Das hat Vor- und Nachteile für beide Seiten. Allein die Ausschreibung eines Preises ist schon eine Form der Qualitätssicherung.

    • Du wirst bei einer Qualitässicherung NIEMALS 100% alle Lücken, Fehler etc finden.
      Denk mal darüber nach.

      • Das mit den 100% stimmt zwar, aber es ist schon ein Unterschied zwischen „NIEMALS“ und 2900 Lücken (die alleine im letzten Jahr gefunden wurden).

        Es ist halt eine Kostenfrage. Die weltbesten Programmierer (zu denen zähle ich die Google Entwickler jetzt mal) hätten diese Lücken sicherlich auch gefunden.
        Aber vermutlich hätten Sie nicht alle 2900 Lücken gefunden (Betriebsblindheit) und für die anderen Lücken wäre das Gehalt vermutlich mehr gewesen, als die Preise des VRP.

        Dennoch finde ich die reine Zahl (2900) schon extrem hoch. Eigentlich sollte es trotz VRP schon eine interne Qualitätssicherung im Bereich Security geben, bevor ein Programm live geht. Das liegt ja auch im Interesse Googles nicht offen wie ein Scheunentor zu sein.
        Da fragt man sich ja, sofern es eine solche Abteilung gibt und die Ihren Job gut machen, wie viele Lücken VORHER im Code waren….

    • Bug Bounty ist ein Teil der Qualitätssicherung, das findet zusätzlich statt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.