Google betaalde 5,9 miljoen euro aan bugbounty's in 2019

Google keerde in 2019 meer dan 5,9 miljoen euro aan bugbounty's uit. Die gingen naar beveiligingsonderzoekers die kwetsbaarheden in software ontdekten. Het hoogste bedrag voor één lek was 182.000 euro.

Dat schrijft het internetbedrijf in een blogpost. Het bedrijf kijkt daarin ook terug op wat er in 2019 allemaal gebeurde in het Vulnerability Reward Program. In totaal werd 6,5 miljoen dollar uitgedeeld, omgerekend iets meer dan 5,9 miljoen euro. Dat is meer dan het jaar ervoor, toen Google nog 3,1 miljoen euro uitdeelde. Het merendeel van de bugbounty's ging naar lekken in Google-producten zelf. Het ging daarbij om 1,9 miljoen euro. Dat is wel logisch, want onder die groep vallen de meeste Google-diensten.

Het bedrijf keerde ook beloningen uit aan het bugbountyprogramma voor Android, Chrome en Play. Daarbij ging het om respectievelijk 1,73 miljoen, 900.000, en 726.000 euro. Bij dat laatste programma kunnen onderzoekers niet alleen bugs in Google Play-diensten zoeken, maar ook in externe apps. Dat kan sinds augustus vorig jaar. In totaal hebben 461 beveiligingsonderzoekers een beloning gekregen. Het hoogste bedrag dat in 2019 werd uitgekeerd, was 201.000 dollar of 182.000 euro.

Sinds het begin van het bugbountyprogramma in 2010 heeft Google naar eigen zeggen 21 miljoen dollar of 19 miljoen euro uitgekeerd. Het bedrijf verhoogde in november het maximale bedrag voor zijn Android-programma tot 1,5 miljoen euro. Die beloning geldt voor onderzoekers die een persistent full-chain takeover van de Titan M-chip op de Pixel-telefoons ontdekken. Zo'n lek is zeldzaam en is nog nooit bij Google gemeld.

Door Tijs Hofmans

Nieuwscoördinator

29-01-2020 • 10:03

16

Reacties (16)

Sorteer op:

Weergave:

Nou, dat zijn wel echt flinke bedragen zeg...

Op een omzet van 130 miljard+ en met een winst van 30 miljard+ is het wel echt een druppeltje wat ze uitkeren aan mensen die helpen de producten veiliger te maken.
Geen idee. Als het jou 120 uur kost om een bug te vinden en kenbaar te maken aan google, en je krijgt daar 10k voor (ik noem maar wat nu), dan heb je geen verkeerd uurloon. Denk dat je met de info in dit artikel weinig kan zeggen over de hoogte van bedragen.

Edit: verduidelijking:
Ik ben totaal niet van mening dat er te weinig of genoeg wordt betaald door google. Ik zeg alleen maar dat je het op basis van dit artikel niet kan zeggen.
@tdlaccount
@Iblies

[Reactie gewijzigd door Ruw ER op 23 juli 2024 18:39]

Exact. Ik heb ooit een bug gevonden op Facebook (per ongeluk, ik ben geen bug bounty hacker) en dat heeft mij ongeveer 20 uur gekost. Kreeg $7500 van Facebook.
Nog nooit zoveel per uur verdiend.

EDIT: Verduidelijking, de hele afhandeling, contact met Facebook, testen etc duurde in totaal 20 uur, verspreid over meerdere maanden. Ik ben geen 20 uur bezig geweest met zoeken, ik kwam er toevallig achter.

[Reactie gewijzigd door Robbierut4 op 23 juli 2024 18:39]

Je redeneert verkeerd.

Om een ander exces te pakken, medicijnen,
de prijs is daar mede afhankelijk van de ‘waarde’ van het leven en andere verdienmodellen om omzet en winst in stand te houden

Als ik dat zou toepassen op een recente hack bij Universiteit maastricht,
nieuws: Universiteit Maastricht heeft meeste systemen weer online na ransomwa...
dan heb je het al over enkele miljoenen die verloren zijn gegaan aan productiviteit en extra kosten.


Als je naar google zou kijken en de medewerkers die daar werken met bijbehorend salaris,
die leiden op een gegeven moment aan tunnel-visie. Kleine tekortkomingen in de software zien ze over het hoofd. En je bent in principe zo goed als de software die je aflevert.


Vergis je overigens niet,
er zijn andere bedrijven die goede prijzen betalen voor hacks. Op zich kan shoppen lonen.
Afhankelijk van hoe kwalijk de bug is.

Kan ook net zo goed 1000,- zijn terwijl jij er zo lang over deed.
dus omdat jij veel winst maakt, moet je anderen ook maar naar rato veel uitkeren?

Als ik een bedrijf start, wordt succesvol, moet ik m'n medewerkers dan ook maar meer betalen als er meer winst wordt geboekt? Zo werkt het volgens mij niet :p
Niets hoeft als het gaat qua medewerkers beloning, maar winstdeling is niet geheel ongebruikelijk in het bedrijfsleven. Bedrijven als Google doen vaak ook aan aandelenprogramma's voor medewerkers, dus ja, soms werkt het wel zo.

Ik denk hoe ruimhartiger het bounty beloningsbeleid is, hoe meer bugs je plet, en hoe veiliger het product wordt. Dat is ook wat meer waard dan krap 0,5 procent van de omzet wat ze nu uitkeren.
Ik denk hoe ruimhartiger het bounty beloningsbeleid is, hoe meer bugs je plet, en hoe veiliger het product wordt. Dat is ook wat meer waard dan krap 0,5 procent van de omzet wat ze nu uitkeren.
Dat klopt, maar wat is veiliger? Als er in de praktijk al vrijwel geen misbruik van bugs wordt gemaakt valt het in de praktijk niet echt veiliger te maken. Dus zo hoog is de nood dus niet. Theorie is leuk (papierwerk) maar uiteindelijk is het de praktijk waar we mee te maken hebben.

[Reactie gewijzigd door watercoolertje op 23 juli 2024 18:39]

Mooi, een goede stimulans voor beveiligingsonderzoekers om problemen te blijven zoeken en tegelijkertijd een enorme geldbesparing voor Google, die van een kritieke bug miljarden verlies zou kunnen draaien.

En ook mooi dat hiermee een beetje een responsible disclosure mentaliteit in stand wordt gehouden: ipv bugs verkooen aan de hoogste bieder op de zwarte markt, verkoop je ze in eerste instantie zonder publiek bericht aan de maker. Iedereen blij. Anders zou uiteindelijk de consument de dupe zijn.
Behalve dat dit volledig off-topic is hebben ze bounty's ook nog eens gewoon goed geschreven. In het Nederlands krijgen -y woorden een 's bij meervoud. baby's, hobby's etc.
Voor Nederlandse woorden kan het inderdaad kloppen, maar erkent de Nederlandse taal "bounty" als een Nederlands woord? In dit geval is het engels woord gepakt en dient het de engelse spelling regels te volgen.

https://www.vandale.nl/gr...derlands/betekenis/bounty
Waarschijnlijk wel, aangezien we de snoep reep al jaren hebben. Dat zijn bounty's.
Misschien moet je dat zelf dan ook even doen ;) , dit is in het Nederlands de juiste spelling.
In het Engels zou het bounties zijn, maar in het Nederlands is bounty's correct.
OK niet helemaal juist @Homp heeft het goed. Als je het in het Nederlands hebt over Bounty's heb je het over de snoeprepen. In het Nederlands is een bounty (die in het artikel) nog altijd een premie, meervoud premies.

Op dit item kan niet meer gereageerd worden.