Google erhöht Belohnungen für sein Bug-Bounty-Programm erheblich
Um nicht nur intern, sondern auch durch die Community gestützt gegen Bugs und Sicherheitslücken innerhalb von Chrome, Chrome OS und Google Play vorgehen zu können, hat Google vor einigen Jahren das sogenannte Bug Bounty-Programm ins Leben gerufen, bei dem sich jeder Nutzer an der Suche nach Fehlern beteiligen und somit dazu beitragen kann, dass die Programme für alle Nutzer besser und sicherer werden.
Seit 2010 habe Google insgesamt bereits über 15 Millionen Dollar an findige Helfer ausbezahlt, nun werden die Kopfgelder für gefundene Fehler im Rahmen des Chrome Vulnerability Reward Program und des Google Play Security Reward Program noch einmal deutlich erhöht, um noch mehr Menschen zu motivieren, sich an der Verbesserung jener Dienste zu beteiligen:
- maximale Basis-Belohnung: bisher 5.000 Dollar / ab sofort 15.000 Dollar
- maximale Belohnung für qualitativ hochwertige Berichte: bisher 15.000 Dollar / ab sofort 30.000 Dollar
- zusätzlicher Bonus für Fehler, die über das Chrome Fuzzer Programm gefunden wurden: bisher 500 Dollar / ab sofort 1.000 Dollar
Sollte sich ein Exploit innerhalb von Chrome OS finden lassen, mit der sich ein Chromebook oder eine Chromebox im Gastmodus angreifen ließe, steigt die Belohnung für das Finden des Exploits von 100.000 auf 150.000 Dollar. Innerhalb von Google Play erwarten den Finder von Bugs, die das Ausführen von Remote Code erlauben, statt der bisherigen 5.000 nun sogar 20.000 Dollar. Sollten in einer App eventuell private Daten oder andere eigentlich geschützte App-Komponenten für möglichen Datendiebstahl offen liegen und ihr findet diese Schwachstelle, dann gibt es nun statt 1.000 immerhin 3.000 Dollar Belohnung, so Google.
Nett. Ich glaube nur, die meisten Bugs finden eh Leute, die bereits diesbezüglich in der Sicherheitsbranche arbeiten und entweder ein Fixeinkommen haben oder nicht über den Mangel von Aufträgen klagen müssen. Sicher, für die ist das ein gutes Zubrot, eine noch bessere Referenz (wer kann schon von sich behaupten, Google massive Bugs in ihrer Software unter die Nase gerieben zu haben) und an sich auch verdient. Auf der anderen Seite spart sich Google dadurch sicher wesentlich mehr als die bisher ausgeschütteten 15 Mio. an Gehältern ein, Leute zu bezahlen, die das machen.
Blöd ist nur, dass man als Deutscher das Geld versteuern muss. Es zählt als Einkommen. Da bleibt dann von 150.000 nur noch etwa die Hälfte über.
Danke für den Hinweis, dass man „als Deutscher“ sein Einkommen versteuern muss. Das wusste ich gar nicht.