Bei Google hat sich über die Jahre ein riesiger Berg an Nutzerdaten angesammelt, der vor unbefugtem Zugriff von außen geschützt werden sollte. Das tut Google, aber selbst der Konzern aus Mountain View ist nicht unfehlbar. Man hat aus diesem Grund bereits seit einiger Zeit ein Bug Bounty bzw. Vulnerability Reward Programm laufen. Dieses wird nun erweitert, um noch mehr Feedback und Hinweise von Nutzern und Entwicklern zu bekommen.
Seit 2010 hat der Tech-Gigant mehr als 12 Millionen US-Dollar an Inputgeber des Reward-Programms ausgeschütet, bisher aber nur für gemeldete Sicherheitslücken. Da man in der Vergangenheit bereits Informationen über Techniken bekam, wie Hacker und Co. die Sicherheitssysteme von Google umgehen können, erweitert man das Programm nun um genau diese Reports.
Man möchte also nicht mehr nur über Lücken aufmerksam gemacht werden, sondern auch mehr Wissen über Methoden zum Missbrauch oder zum Umgehen der Systeme lernen.
This expansion is intended to reward research that helps us mitigate potential abuse methods. A few examples of potentially valid reports for this program could include bypassing our account recovery systems at scale, identifying services vulnerable to brute force attacks, circumventing restrictions on content use and sharing, or purchasing items from Google without paying. Valid reports tend to result in changes to the product’s code, as opposed to removal of individual pieces of content.
Nicht im Programm inbegriffen sind Berichte über Inhalte, die die Sicherheits- oder andere Richtlinien verletzen, das Senden von Spam-Mails etc. Diese Reporte sollen weiterhin über die von Google bereitgestellten Produkt-Kanäle gemeldet werden.