Door Joost Schellevis, dinsdag 24 april 2012 13:12, views: 13.922 •

Google verhoogt de vergoeding voor het rapporteren van beveiligingsproblemen naar maximaal 20.000 dollar: een verzesvoudiging. Gebruikers en onderzoekers die een lek ontdekken in een Google-dienst, komen voor de vergoeding in aanmerking.

HackerTot voor kort kon degene die een beveiligingsprobleem aanmeldde rekenen op een vergoeding van maximaal 3133,70 dollar, maar dat bedrag is meer dan verzesvoudigd, naar maximaal 20.000 dollar. Om voor het bedrag van 20.000 dollar in aanmerking te komen, moet wel een zeer kritiek lek worden gevonden, waarmee code kan worden uitgevoerd op een systeem van Google.

Voor sql-injecties en vergelijkbare kwetsbaarheden wordt 10.000 dollar uitgekeerd, belooft Google. Cross-site scripting, cross site request forgery en vergelijkbare problemen in gevoelige applicaties, zoals Google Wallet, worden beloond met het oude maximumbedrag van 3133,70 dollar.

Google biedt sinds november 2010 beloningen voor het vinden van beveiligingsproblemen. Sindsdien is 460.000 dollar uitgekeerd aan circa 200 ontdekkers van beveiligingsproblemen; dat komt neer op gemiddeld 2300 dollar per ontdekker.

De zoekgigant vraagt ontdekkers wel om het bedrijf redelijke tijd te geven om het lek te dichten voordat het eventueel in de openbaarheid wordt gebracht; anders komt hij of zij meestal niet in aanmerking voor een beloning.

Reacties (24)

Reactiefilter:-124022+114+21+30
Platte weergaveSorteer aflopendFaq
0 IKnowBest
24 april 2012 13:14
Ik ga maar eens aan de slag! Zullen er vast nog wel een aantal te vinden zijn!
0 Atrevir
24 april 2012 13:15
Altijd mooi, google en hun beloningen. 3133,70 blijft geweldig haha :D
0 Madcat
@Atrevir24 april 2012 13:25
Ze kunnen er ook 31337,- van maken he!
Net iets meer geweldig, eigenlijk 10 keer zo geweldig en 1.5 keer zo geweldig als de huidige 20K :)

Blijkbaar hebben ze het vertrouwen dat er niet meer zo veel security bugs in zitten.
Uiteindelijk is dit natuurlijk veel goedkoper dan de incident te moeten incaseren, zowel qua geld als aanzien.
0 Sharpen
24 april 2012 13:16
Dit is natuurlijk de beste beveiliging!
+1 Odinos
24 april 2012 13:16
Zou een derde partij meer bieden voor zulk beveiligingslek?
+2 Rick2910
@Odinos24 april 2012 13:24
Jawel hoor, vraag maar eens na bij VUPEN bijvoorbeeld. In het ondergrondse circuit gaat het letterlijk om tonnen (bron met vergoedingenlijstje)
Vergoedingen per exploit:
Adobe Reader ¤3.750 - ¤22.500
Mac OS X ¤15.000 - ¤37.500
Android ¤22.500 - ¤45.000
Flash / Java plug-ins ¤30.000 - ¤75.000
Microsoft Word ¤37.500 - ¤75.000
Windows ¤45.000 - ¤90.000
Firefox / Safari ¤45.000 - ¤115.000
Chrome / IE ¤60.000 - ¤150.000
Apple iOS ¤75.000 - ¤190.000
@Odinos: Google Chrome staat er gewoon tussen, ¤ 60k tot ¤ 150k per 0-day exploit.

[Reactie gewijzigd door Rick2910 op 24 april 2012 17:16]

+1 Odinos
@Rick291024 april 2012 16:43
oke, maar ik bedoelde eigenlijk een derde partij die meer betaalt voor een beveiligings lek in software van Google dan Google zelf
+1 Jochemp
24 april 2012 13:17
Waarschijnlijk denkt Google dat haar systemen momenteel zo goed in elkaar zitten, dat ze dit soort bedragen durft te beloven. Goede zaak natuurlijk, want er gaan nu mensen beter proberen een lek te vinden.

Google zal het geld vast niet missen! Goed initiatief van Google naar mijn idee.
+1 chime
@Jochemp24 april 2012 13:19
Dat en 20 000 dollar uitloven valt eigenlijk goed mee in verhouding om een personeelslid daar voltijds naar te laten zoeken.
+1 Atmosfeer
@Jochemp24 april 2012 13:28
Volgens mij is het meer een kat en muis spel. Zoals hierboven wordt aangegeven bieden andere partijen (die waarschijnlijk niet echt legaal zijn) vaak nog veel meer. Google moet dus wel zijn bedragen verhogen anders gaan mensen ze wellicht ergens anders melden waar ze meer krijgen.
+1 SaphuA
@Jochemp24 april 2012 13:31
Ik denk eerder dat Google wel moet, omdat 'andere partijen' wellicht meer geld over hebben voor een goed lek. Zo maken ze het interessant om actief naar lekken te zoeken en deze ook aan Google te melden.
+1 Rmg
@Jochemp24 april 2012 14:02
20000,- dollar voor, een gevonden lek + tijd om het te fixen voor het openbaar word is een koopje als je het alternatief bekijkt, een gevonden en gepubliceerd lek proberen te fixen terwijl je klanten moord en brand schreeuwen is namelijk veel duurder.

Denk dat het weinig heeft te maken met het (eventuele) gevoel van onfeilbaarheid dat google zou hebben.
+1 jantijtgat
@Rmg24 april 2012 15:03
Aan de andere kant is 20 000 dollar gewoon zeer genereus. Vele bedrijven geven niets, of een fractie ervan. Slim van google: veel gaten zullen gevonden worden door "vrijwilligers" die er ook iets aan verdienen. Volgens mij win-win.
+1 Perkouw
24 april 2012 13:24
Ik kan het helaas niet meer terugvinden maar was het voorgaande bedrag 3133,70 niet ergens aan gerelateerd ?!
+1 50u1r34v3r
@Perkouw24 april 2012 13:25
31337 = eleet = elite?
+1 Batiatus
24 april 2012 14:15
Mooie actie van Google. Zeker omdat het eerst niet erg winstgevend was exploits en lekken te melden bij de bedrijven, ze gaven er niet veel voor. Dan is het al snel winstgevend om dit soort lekken te rapporteren aan de onderwereld.
20.000 dollar is een mooi bedrag, maar ik verwacht niet dat er nog veel kritieke lekken tegengekomen gaan worden bij Google.
0 F4RR3L
@Batiatus24 april 2012 14:38
never say never!
+1 Argantonis
@Batiatus24 april 2012 16:48
Waarom zou je dat niet verwachten? Ze maken constant nieuwe software en features op bestaande software dus geheid dat daar af en toe beveiligingslekken geļntroduceerd worden.
0 pibara
@Argantonis24 april 2012 19:11
Mischien als de beloning van het salaris van de nalatige ontwikkelaar/engineer/architect wordt afgetrokken. Reken maar dat er dan geen nieuwe lekken meer gaan komen:-P
0 HerrPino
24 april 2012 15:17
Valt versturen van privacy gevoelige informatie naar reclame bedrijven (zoals Google zelf) ook onder lek?
0 renezaal
@Sharkoon25 april 2012 09:21
van http://www.google.com/about/company/rewardprogram.html:
If you have found a vulnerability, please contact us at security@google.com.
Feel free to be succinct: the mailbox is attended by security engineers, and a short proof-of-concept link is more valuable than a video explaining the consequences of an XSS bug.
Oh: if necessary, you can use this PGP key.

[Reactie gewijzigd door renezaal op 25 april 2012 09:22]

Op dit item kan niet meer gereageerd worden.

Onderwerpen

Gerelateerde content

Alle gerelateerde content (7)