Vulnerability Reward Program: Google zahlte 2016 über 3 Mio Dollar für über 1.000 Lücken
Das Vulnerability Reward Program (VRP) von Google sorgt seit 2010 dafür, dass Sicherheitslücken in Google-Produkten entdeckt werden und belohnt die Finder dafür. Nun hat Google ein paar Zahlen zusammengekramt, die einen Einblick in das Programm geben. 2016 wurden insgesamt über 3 Millionen Dollar an Belohnungen ausgezahlt, entdeckt wurden über 1.000 Sicherheitslücken von mehr als 350 Sicherheitsforschern, die in einer Belohnung endeten. Die größte Einzelbelohnung brachte 100.000 Dollar ein. Android und Chrome sorgten ungefähr für die gleichen Auszahlungen, rund eine Million Dollar gab es jeweils für die beiden Gebiete.
Neben den Belohnungen, gibt es auch Geschichten hinter den Menschen, die die Lücken entdecken. Das sind nämlich keineswegs immer Vollzeit-Fehlersucher, die damit ihren Lebensunterhalt finanzieren. So sorgt zum Beispiel Jasminder Pal Singh dafür, dass sein Start-Up durch die Belohnungen aufgebaut werden kann. Andere spenden ihre Belohnungen für einen guten Zweck, wie beispielsweise Jon Sawyer, der 8.000 Dollar Belohnung an das lokale Special Olympics Team weitergereicht hat. Das vermenschlicht die Fehlersuche zwischen Nullen und Einsen ein bisschen und zeigt, dass so ein Programm eben nicht nur für die Sicherheit der Produkte sorgen kann.
Alle Geschichten zum Vulnerability Reward Program findet Ihr in diesem Blogpost von Google, auch dieses Jahr wird es sicher wieder jede Menge Lücken geben, die entdeckt werden wollen.
Macht im Durchschnitt 3000$ pro gefundene Sicherheitslücke.
Billiger bekommt so ein Konzern seine Probleme nicht gefixt. Sozialversicherungspflichtig angestellte Programmierer wären erheblich teurer…..