Google verhoogt maximale bugbounty's voor eigen apps met factor tien

Google gaat de maximumbugbounty's voor zijn eigen apps met een factor tien verhogen. Hackers die bugs melden in apps zoals Gmail, kunnen in de toekomst niet 30.000, maar tot wel 300.000 dollar krijgen. In zeer zeldzame gevallen kan daar een bonus van 50 procent bij komen.

Google schrijft in een blogpost dat het de maximale beloningen van het Mobile Vulnerability Rewards Program verhoogt. Het bedrijf begon een jaar geleden met dat programma. Het Mobile VRP is een bugbountyprogramma voor Googles eigen Android-apps, waaronder Gmail, Google Play Services en de Zoeken-app. Sinds mei vorig jaar heeft het bedrijf veertig bugbounty's afgehandeld via dat programma en daarbij meer dan 100.000 dollar aan beloningen uitgekeerd.

Na feedback van hackers gaat Google nu enkele veranderingen doorvoeren aan het programma. De opvallendste daarvan betreft de hoogte van de beloningen. Het melden van een remote arbitrary code execution in firstpartyapps leverde altijd maximaal 30.000 dollar op. Dat wordt in de toekomst verhoogd naar 300.000 dollar. Ook de maximumbeloning voor het melden van kwetsbaarheden voor datadiefstal gaat met een factor tien omhoog, van 7500 naar 75.000 dollar voor kwetsbaarheden waarbij geen gebruikersinteractie nodig is.

Google voegt ook een 'modifier' toe aan het programma waarbij hackers een hogere beloning kunnen krijgen als hun bugrapportages een buitengewone kwaliteit hebben. Bij een hoge kwaliteit krijgen ze het normale bedrag, maar als hackers een mogelijke patch of een hoofdoorzaak kunnen beschrijven, kunnen ze anderhalf keer de maximale bugbountybeloning krijgen. Dat betekent dat ze voor de hoogste bug, een remote code execution zonder gebruikersinteractie, maximaal 450.000 dollar kunnen verdienen. Daar staat tegenover dat een rapport ook een lage kwaliteit kan hebben, waarvoor Google slechts de helft van de maximale beloning uitkeert.

Door Tijs Hofmans

Nieuwscoördinator

03-05-2024 • 08:22

22

Reacties (22)

Sorteer op:

Weergave:

Dat wordt in de toekomst verhoogd naar 300.000 dollar.
Gaan slimme hackers nu wachten met het melden van een vers gevonden RACE bug om zo meer geld te verdienen? Hopelijk wacht Google niet te lang met het verhogen...
Risico is wel dat iemand anders hem vind en inleverd :p
Dat denk ik niet, als iemand anders je voor is krijg je niets meer dan.
Niet meer dan logisch, op de markt kunnen ze daar veel meer voor krijgen/meerdere keren verkopen.

Het blijft krom dat ze zo weinig kregen, terwijl een exploit juist het hele ecosysteem kan raken.
Het is een goede zaak uiteraard, maar een kleinere onderneming kan nooit zo een bedragen geven als Google. Uiteraard is een kleinere onderneming een minder interessant doelwit. Maar dan nog.
Zowieso zal dit spel nooit stoppen
Maar als je 1 maal wat kan vinden per jaar, dan heb je een aardig salaris, zelfs 1x om de 2-3 jaar.

[Reactie gewijzigd door cricque op 23 juli 2024 07:05]

Google helpt andere bedrijven in zekere zin ook wel met dit soort zaken. Ze komen vaak met gevonden exploits en geeft bedrijven de mogelijkheid om dit binnen 90 dagen te dichten. Google Project Zero heet die divisie die daar zich mee bezig houdt.

Wikipedia: Project Zero
De NSO Group (en consorten) is een flink aantal maatjes kleiner dan Google/Alphabet maar zal echt wel meer kunnen en willen betalen...

Pegasus

[Reactie gewijzigd door Baserk op 23 juli 2024 07:05]

Tijd om dus eens wat te gaan proberen, je weet maar nooit ;)
Voor mij is dit nieuws ook wel een indicatie dat de simpele dingen er al lang uit zijn. Niet vergeten dat Google één van die bedrijven is die heel actief aan security research doet. en niet alleen voor hun eigen producten.
Als je nu iets significants vindt, is dat niet door 'wat te gaan proberen", maar omdat je skills en inzichten hebt die een (groot) team bij Google niet had. Dat verdient sowieso een pluim en een beloning!
Het is ordinaire koehandel dan wel een verdienmodel geworden.

Als je een "goede bug" ontdekt is dat (veel) geld waard. De "dark side" wil het hebben, dus Google moet de knip openen. als niemand er voor betaald kan er altijd nog gelekt worden voor een (exclusief) nieuwsbericht, goede reclame voor het bedrijf of de persoon die de bug ontdekte. Desnoods toon je het op CCC of DefCon beurzen, krijg je applaus en staan de recruiters in de rij.
Wat een brak systeem.
Jep, heel de bugbounty is nogal brak. Je kunt meerdere echte vulnerabilities of bugs rapporteren en antwoorden krijgen als "this is expected behavior", "we already know about this bug", "not applicable for reward", ... Het is gewoon gratis werken. Zeker met zo'n belachelijke bedragen als 30K voor een RCE in een first-party google app ... :+ (daar vind je er niet 2/3 van per jaar om van te leven)

Het is leuk als je een keertje wil gaan kijken, maar dit is echt last resort security werk. (imho)
Afaik zijn er weinig mensen die dit als "werk" doen. Wel als hobby en een soort van 'lotto spelen'.
Er zijn genoeg mensen met de juiste kennis die 'bij toeval' iets raars zien en erin duiken. Zonder bounty is hun incentive weg. Of erger: proberen ze er geld uit te maken op de grijze of zwarte markt....
BugBounty systemen hebben niet de bedoeling dat mensen voor niks gaan werken. Het idee is dat áls iemand iets vindt dat die het bij Google zelf gaat melden ipv het voor zichzelf te houden of door te verkopen aan bad guys.
Wat een brak systeem. Er gaan meerdere mensen onbezoldigd op zoek naar bugs en wie als eerste iets vindt krijgt de hoofdprijs. Voor iedere persoon die een bug vind zullen er honderden zijn die dicht bij waren, maar die krijgen niets voor hun werk.
Zolang ze dat vrijwillig doen vind ik het niet heel erg, maar ik zou niemand aanraden om hier tijd in te steken.
Een hoofdprijs op een security lek is sowieso risicovol. Een interne coder kan "per ongeluk" een security
probleem introduceren en een bevriende hacker de bug laten "vinden". Vervolgens delen ze de buit. Hoe hoger de bounty, hoe waarschijnlijker zo'n scenario is.
Dat klopt, maar die interne coder kan nu ook al een "fout" maken en die voor veel geld verkopen op de zwarte markt. Dit soort bounty's zijn er om mensen te helpen het juiste te doen. De meeste mensen willen helemaal geen misdaad plegen en zullen blij zijn met een (relatief) klein bedrag van Google, in plaats van dat ze de zwarte markt op moeten.
Wat veel beter zou werken is als er wetgeving komt die bedrijven aansprakelijk houdt voor (gevolg)schade van security problemen in applicaties. Als het voorkomen van security problemen goedkoper is dan (het risico op) aansprakelijkheid dan zullen bedrijven vanzelf voldoende aandacht besteden aan het voorkomen van security problemen.
Mee eens, ik ga misschien nog wel verder. We hebben op dit moment geen goede manier om de schade van security problemen te bepalen. Dat is lastig omdat de gevolgen zich over jaren uit kunnen spreiden en heel indirect zijn. Kun je bewijzen dat je bedrijf gehakt is omdat er drie jaar geleden ergens een wachtwoord is gelekt? Kun je bewijzen dat je te veel geld voor je nieuwe auto hebt betaald omdat je met reclame bent verleid? Kun je bewijzen dat je je hele leven lang te veel hebt betaald voor je verzekering omdat het algoritme beslissingen neemt op grond van gestolen (en oncontroleerbare) data? Op de zwarte markt zijn persoonsgegevens een paar cent waard. Is dat de prijs? Bij Youtube betaal je meer dan €100 euro per jaar om advertentievrij te kijken, is dat de waarde van je data?

Er is wel een risico, namelijk dat bedrijven het geheim houden als ze gehackt worden en het pas boven water komt als het helemaal fout gaat. Ik denk daarom dat het productiever is om er voor te zorgen dat ze vooraf al een goede reden hebben om op de security te letten, bv omdat de accountant of de verzekering dat van ze verlangt.
Er is wel een risico, namelijk dat bedrijven het geheim houden als ze gehackt worden en het pas boven water komt als het helemaal fout gaat. Ik denk daarom dat het productiever is om er voor te zorgen dat ze vooraf al een goede reden hebben om op de security te letten, bv omdat de accountant of de verzekering dat van ze verlangt.
Er is gelukkig al wel wetgeving die bedrijven verplicht te melden als een hack heeft plaatsgevonden én een hoop regeltjes en aanbevelingen die bedrijven helpen op een veilige manier aan IT te doen.
Er is gelukkig al wel wetgeving die bedrijven verplicht te melden als een hack heeft plaatsgevonden én een hoop regeltjes en aanbevelingen die bedrijven helpen op een veilige manier aan IT te doen.
Ja, die wetgeving is bewust zo opgesteld dat bedrijven wel verplicht zijn om het te melden maar dat er geen automatische boete aan vast zit. Als er wel straf op dan wordt het voor bedrijven aantrekkelijker om het geheim te houden. Zolang niemand het weet krijgen ze immers geen straf. Jezelf aangeven als je weet dat je gestraft gaat worden is voor niemand makkelijk.

Overigens is de wet niet dat je helemaal nooit gestraft kan worden. Je hebt nog steeds verantwoordelijkheid die je moet nemen. Wie moedwillig domme risico's neemt kan gestraft worden. Maar wie geprobeerd heeft om het juiste te doen hoeft niet extra beboet te worden voor fouten.
Gezien het aantal hacks en security problemen in commerciële apps en besturingssystemen zijn we nu op het punt aangekomen dat "proberen het juiste te doen" niet goed genoeg meer is. We hebben een stok achter de deur nodig om bedrijven te dwingen veiligheid een veel hogere prioriteit te geven.
Je gaat er voor het gemak even aan voorbij dat de systemen mea complex geworden zijn. En dat daarnaast inzicht in computers, en wat wij daarover leren, leidt tot issues die nooit voorzien hadden kunnen zijn.

Veel geroeptoeter. Maar als we de analogie naar auto's trekken, het is vaak alsof men airbags verwachtte op een ford model t.

Td lr, het is niet of er bewust security issues de wereld ingeslingerd worden.
Software ontwikkelaars bij bedrijven als Google verdienen flink. Een senior verdiend al meer dan 3 ton per jaar.

Daarnaast gaat zo'n code door een aantal review stappen heen, dus er is nooit één iemand die een bewuste fout kan introduceren.
Daarnaast gaat zoiets ook wel opvallen na een tijd.

> Wat veel beter zou werken is als er wetgeving komt die bedrijven aansprakelijk houdt voor (gevolg)schade van security problemen in applicaties.
Ja, nog meer geld naar de overheden, ipv naar de mensen die hard werken en actief bezig zijn het internet veiliger te maken.
Wat veel beter zou werken is als er wetgeving komt die bedrijven aansprakelijk houdt voor (gevolg)schade van security problemen in applicaties. Als het voorkomen van security problemen goedkoper is dan (het risico op) aansprakelijkheid dan zullen bedrijven vanzelf voldoende aandacht besteden aan het voorkomen van security problemen.
Als dat er zou komen, dan zie je alleen nog maar grote bedrijven. Of je bent alles kwijt. Als je hier in België failliet gaat bijvoorbeeld draag je dat je hele leven mee. In Amerika is dat bijvoorbeeld iets anders. Als jij nu toch alles volgens de regels van de kunst het gedaan, maar je gebruikt library X en via die library heb je het dus zitten. Ben jij dan nog verantwoordelijk ? Tevens zou dit een serieuze rem op opensource zetten. Want je bent aansprakelijk.

Uiteraard moet je ten allen tijde alles voorkomen, maar hoeveel mensen ken jij dat zowel kunnen programmeren, als iets kennen van security en dan nog servers/cloud etc. Ik bitter weinig hoor. Het is oftewel het ene of het andere. En in grotere bedrijven zijn er altijd wel codereviews, dus het is niet zo dat dit slechts door 1 persoon ok bevonden is. Maar zoiets vinden is niet voor mensen die "normaal" denken. Soms denk ik, hoe kun je daar in godsnaam opkomen van dit allemaal zo uit te voeren. Het is toch iets aparts.
Hoe wordt dat precies afgevangen dan? Je kan nog zo veel code reviews en tests inbouwen, het is een feit dat er gewoon bugs doorheen komen. Waarom kan dat dan niet expres?
Het eerste bug-vrije softwarepakket moet ik nog tegenkomen.

[Reactie gewijzigd door Pikoe op 23 juli 2024 07:05]

Op dit item kan niet meer gereageerd worden.