Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 24, views: 14.029 •

Google verhoogt de vergoeding voor het rapporteren van beveiligingsproblemen naar maximaal 20.000 dollar: een verzesvoudiging. Gebruikers en onderzoekers die een lek ontdekken in een Google-dienst, komen voor de vergoeding in aanmerking.

HackerTot voor kort kon degene die een beveiligingsprobleem aanmeldde rekenen op een vergoeding van maximaal 3133,70 dollar, maar dat bedrag is meer dan verzesvoudigd, naar maximaal 20.000 dollar. Om voor het bedrag van 20.000 dollar in aanmerking te komen, moet wel een zeer kritiek lek worden gevonden, waarmee code kan worden uitgevoerd op een systeem van Google.

Voor sql-injecties en vergelijkbare kwetsbaarheden wordt 10.000 dollar uitgekeerd, belooft Google. Cross-site scripting, cross site request forgery en vergelijkbare problemen in gevoelige applicaties, zoals Google Wallet, worden beloond met het oude maximumbedrag van 3133,70 dollar.

Google biedt sinds november 2010 beloningen voor het vinden van beveiligingsproblemen. Sindsdien is 460.000 dollar uitgekeerd aan circa 200 ontdekkers van beveiligingsproblemen; dat komt neer op gemiddeld 2300 dollar per ontdekker.

De zoekgigant vraagt ontdekkers wel om het bedrijf redelijke tijd te geven om het lek te dichten voordat het eventueel in de openbaarheid wordt gebracht; anders komt hij of zij meestal niet in aanmerking voor een beloning.

Reacties (24)

Ik ga maar eens aan de slag! Zullen er vast nog wel een aantal te vinden zijn!
Altijd mooi, google en hun beloningen. 3133,70 blijft geweldig haha :D
Ze kunnen er ook 31337,- van maken he!
Net iets meer geweldig, eigenlijk 10 keer zo geweldig en 1.5 keer zo geweldig als de huidige 20K :)

Blijkbaar hebben ze het vertrouwen dat er niet meer zo veel security bugs in zitten.
Uiteindelijk is dit natuurlijk veel goedkoper dan de incident te moeten incaseren, zowel qua geld als aanzien.
Dit is natuurlijk de beste beveiliging!
Zou een derde partij meer bieden voor zulk beveiligingslek?
Jawel hoor, vraag maar eens na bij VUPEN bijvoorbeeld. In het ondergrondse circuit gaat het letterlijk om tonnen (bron met vergoedingenlijstje)
Vergoedingen per exploit:
Adobe Reader ¤3.750 - ¤22.500
Mac OS X ¤15.000 - ¤37.500
Android ¤22.500 - ¤45.000
Flash / Java plug-ins ¤30.000 - ¤75.000
Microsoft Word ¤37.500 - ¤75.000
Windows ¤45.000 - ¤90.000
Firefox / Safari ¤45.000 - ¤115.000
Chrome / IE ¤60.000 - ¤150.000
Apple iOS ¤75.000 - ¤190.000
@Odinos: Google Chrome staat er gewoon tussen, ¤ 60k tot ¤ 150k per 0-day exploit.

[Reactie gewijzigd door Rick2910 op 24 april 2012 17:16]

oke, maar ik bedoelde eigenlijk een derde partij die meer betaalt voor een beveiligings lek in software van Google dan Google zelf
Waarschijnlijk denkt Google dat haar systemen momenteel zo goed in elkaar zitten, dat ze dit soort bedragen durft te beloven. Goede zaak natuurlijk, want er gaan nu mensen beter proberen een lek te vinden.

Google zal het geld vast niet missen! Goed initiatief van Google naar mijn idee.
Dat en 20 000 dollar uitloven valt eigenlijk goed mee in verhouding om een personeelslid daar voltijds naar te laten zoeken.
Volgens mij is het meer een kat en muis spel. Zoals hierboven wordt aangegeven bieden andere partijen (die waarschijnlijk niet echt legaal zijn) vaak nog veel meer. Google moet dus wel zijn bedragen verhogen anders gaan mensen ze wellicht ergens anders melden waar ze meer krijgen.
Ik denk eerder dat Google wel moet, omdat 'andere partijen' wellicht meer geld over hebben voor een goed lek. Zo maken ze het interessant om actief naar lekken te zoeken en deze ook aan Google te melden.
20000,- dollar voor, een gevonden lek + tijd om het te fixen voor het openbaar word is een koopje als je het alternatief bekijkt, een gevonden en gepubliceerd lek proberen te fixen terwijl je klanten moord en brand schreeuwen is namelijk veel duurder.

Denk dat het weinig heeft te maken met het (eventuele) gevoel van onfeilbaarheid dat google zou hebben.
Aan de andere kant is 20 000 dollar gewoon zeer genereus. Vele bedrijven geven niets, of een fractie ervan. Slim van google: veel gaten zullen gevonden worden door "vrijwilligers" die er ook iets aan verdienen. Volgens mij win-win.
Ik kan het helaas niet meer terugvinden maar was het voorgaande bedrag 3133,70 niet ergens aan gerelateerd ?!
31337 = eleet = elite?
Mooie actie van Google. Zeker omdat het eerst niet erg winstgevend was exploits en lekken te melden bij de bedrijven, ze gaven er niet veel voor. Dan is het al snel winstgevend om dit soort lekken te rapporteren aan de onderwereld.
20.000 dollar is een mooi bedrag, maar ik verwacht niet dat er nog veel kritieke lekken tegengekomen gaan worden bij Google.
never say never!
Waarom zou je dat niet verwachten? Ze maken constant nieuwe software en features op bestaande software dus geheid dat daar af en toe beveiligingslekken geļntroduceerd worden.
Mischien als de beloning van het salaris van de nalatige ontwikkelaar/engineer/architect wordt afgetrokken. Reken maar dat er dan geen nieuwe lekken meer gaan komen:-P
Valt versturen van privacy gevoelige informatie naar reclame bedrijven (zoals Google zelf) ook onder lek?
van http://www.google.com/about/company/rewardprogram.html:
If you have found a vulnerability, please contact us at security@google.com.
Feel free to be succinct: the mailbox is attended by security engineers, and a short proof-of-concept link is more valuable than a video explaining the consequences of an XSS bug.
Oh: if necessary, you can use this PGP key.

[Reactie gewijzigd door renezaal op 25 april 2012 09:22]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013