Google verhoogt beloning voor ontdekken beveiligingsproblemen

Google verhoogt de vergoeding voor het rapporteren van beveiligingsproblemen naar maximaal 20.000 dollar: een verzesvoudiging. Gebruikers en onderzoekers die een lek ontdekken in een Google-dienst, komen voor de vergoeding in aanmerking.

HackerTot voor kort kon degene die een beveiligingsprobleem aanmeldde rekenen op een vergoeding van maximaal 3133,70 dollar, maar dat bedrag is meer dan verzesvoudigd, naar maximaal 20.000 dollar. Om voor het bedrag van 20.000 dollar in aanmerking te komen, moet wel een zeer kritiek lek worden gevonden, waarmee code kan worden uitgevoerd op een systeem van Google.

Voor sql-injecties en vergelijkbare kwetsbaarheden wordt 10.000 dollar uitgekeerd, belooft Google. Cross-site scripting, cross site request forgery en vergelijkbare problemen in gevoelige applicaties, zoals Google Wallet, worden beloond met het oude maximumbedrag van 3133,70 dollar.

Google biedt sinds november 2010 beloningen voor het vinden van beveiligingsproblemen. Sindsdien is 460.000 dollar uitgekeerd aan circa 200 ontdekkers van beveiligingsproblemen; dat komt neer op gemiddeld 2300 dollar per ontdekker.

De zoekgigant vraagt ontdekkers wel om het bedrijf redelijke tijd te geven om het lek te dichten voordat het eventueel in de openbaarheid wordt gebracht; anders komt hij of zij meestal niet in aanmerking voor een beloning.

Door Joost Schellevis

Redacteur

Feedback • 24-04-2012 13:12 24

24-04-2012 • 13:12

24

Lees meer

Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek Nieuws van 4 april 2016
Google breidt creditcard-ondersteuning voor Wallet uit
Google breidt creditcard-ondersteuning voor Wallet uit Nieuws van 2 augustus 2012
Onderzoek: vooral webwinkels bevatten veel beveiligingsgaten
Onderzoek: vooral webwinkels bevatten veel beveiligingsgaten Nieuws van 2 juli 2012
Belgische post schermt handtekeningen klanten niet af - update
Belgische post schermt handtekeningen klanten niet af - update Nieuws van 4 mei 2012
Hackers maken broncode VMware ESX buit
Hackers maken broncode VMware ESX buit Nieuws van 26 april 2012
Google looft 1 miljoen dollar uit voor Chrome-exploits
Google looft 1 miljoen dollar uit voor Chrome-exploits Nieuws van 28 februari 2012
Google beloont hackers met 310.000 euro voor beveiliging
Google beloont hackers met 310.000 euro voor beveiliging Nieuws van 10 februari 2012
Google blokkeert 'zoek-geoptimaliseerde' pagina's
Google blokkeert 'zoek-geoptimaliseerde' pagina's Nieuws van 26 november 2003
Meer producten en artikelen
Privacy Serversoftware Google Beveiliging Hackers

Reacties (24)

-Moderatie-faq
24
22
14
1
0
1
Wijzig sortering

Sorteer op:

Weergave:
Odinos 24 april 2012 13:16
Zou een derde partij meer bieden voor zulk beveiligingslek?
TDeK
@Odinos24 april 2012 13:24
Jawel hoor, vraag maar eens na bij VUPEN bijvoorbeeld. In het ondergrondse circuit gaat het letterlijk om tonnen (bron met vergoedingenlijstje)
Vergoedingen per exploit:
Adobe Reader €3.750 - €22.500
Mac OS X €15.000 - €37.500
Android €22.500 - €45.000
Flash / Java plug-ins €30.000 - €75.000
Microsoft Word €37.500 - €75.000
Windows €45.000 - €90.000
Firefox / Safari €45.000 - €115.000
Chrome / IE €60.000 - €150.000
Apple iOS €75.000 - €190.000
@Odinos: Google Chrome staat er gewoon tussen, € 60k tot € 150k per 0-day exploit.

[Reactie gewijzigd door TDeK op 26 juli 2024 23:45]

Odinos @TDeK24 april 2012 16:43
oke, maar ik bedoelde eigenlijk een derde partij die meer betaalt voor een beveiligings lek in software van Google dan Google zelf
Jochemp 24 april 2012 13:17
Waarschijnlijk denkt Google dat haar systemen momenteel zo goed in elkaar zitten, dat ze dit soort bedragen durft te beloven. Goede zaak natuurlijk, want er gaan nu mensen beter proberen een lek te vinden.

Google zal het geld vast niet missen! Goed initiatief van Google naar mijn idee.
Rmg @Jochemp24 april 2012 14:02
20000,- dollar voor, een gevonden lek + tijd om het te fixen voor het openbaar word is een koopje als je het alternatief bekijkt, een gevonden en gepubliceerd lek proberen te fixen terwijl je klanten moord en brand schreeuwen is namelijk veel duurder.

Denk dat het weinig heeft te maken met het (eventuele) gevoel van onfeilbaarheid dat google zou hebben.
Verwijderd @Rmg24 april 2012 15:03
Aan de andere kant is 20 000 dollar gewoon zeer genereus. Vele bedrijven geven niets, of een fractie ervan. Slim van google: veel gaten zullen gevonden worden door "vrijwilligers" die er ook iets aan verdienen. Volgens mij win-win.
chime @Jochemp24 april 2012 13:19
Dat en 20 000 dollar uitloven valt eigenlijk goed mee in verhouding om een personeelslid daar voltijds naar te laten zoeken.
Atmosfeer @Jochemp24 april 2012 13:28
Volgens mij is het meer een kat en muis spel. Zoals hierboven wordt aangegeven bieden andere partijen (die waarschijnlijk niet echt legaal zijn) vaak nog veel meer. Google moet dus wel zijn bedragen verhogen anders gaan mensen ze wellicht ergens anders melden waar ze meer krijgen.
SaphuA @Jochemp24 april 2012 13:31
Ik denk eerder dat Google wel moet, omdat 'andere partijen' wellicht meer geld over hebben voor een goed lek. Zo maken ze het interessant om actief naar lekken te zoeken en deze ook aan Google te melden.
Perkouw Moderator GCC 24 april 2012 13:24
Ik kan het helaas niet meer terugvinden maar was het voorgaande bedrag 3133,70 niet ergens aan gerelateerd ?!
Verwijderd @Perkouw24 april 2012 13:25
31337 = eleet = elite?
Shifty47 @Perkouw24 april 2012 14:33
http://en.wikipedia.org/wiki/Leet
Batiatus 24 april 2012 14:15
Mooie actie van Google. Zeker omdat het eerst niet erg winstgevend was exploits en lekken te melden bij de bedrijven, ze gaven er niet veel voor. Dan is het al snel winstgevend om dit soort lekken te rapporteren aan de onderwereld.
20.000 dollar is een mooi bedrag, maar ik verwacht niet dat er nog veel kritieke lekken tegengekomen gaan worden bij Google.
Argantonis @Batiatus24 april 2012 16:48
Waarom zou je dat niet verwachten? Ze maken constant nieuwe software en features op bestaande software dus geheid dat daar af en toe beveiligingslekken geïntroduceerd worden.
pibara @Argantonis24 april 2012 19:11
Mischien als de beloning van het salaris van de nalatige ontwikkelaar/engineer/architect wordt afgetrokken. Reken maar dat er dan geen nieuwe lekken meer gaan komen:-P
F4RR3L @Batiatus24 april 2012 14:38
never say never!
Verwijderd 24 april 2012 13:14
Ik ga maar eens aan de slag! Zullen er vast nog wel een aantal te vinden zijn!
Atrevir 24 april 2012 13:15
Altijd mooi, google en hun beloningen. 3133,70 blijft geweldig haha :D
Madcat @Atrevir24 april 2012 13:25
Ze kunnen er ook 31337,- van maken he!
Net iets meer geweldig, eigenlijk 10 keer zo geweldig en 1.5 keer zo geweldig als de huidige 20K :)

Blijkbaar hebben ze het vertrouwen dat er niet meer zo veel security bugs in zitten.
Uiteindelijk is dit natuurlijk veel goedkoper dan de incident te moeten incaseren, zowel qua geld als aanzien.
Verwijderd 24 april 2012 13:16
Dit is natuurlijk de beste beveiliging!
HerrPino 24 april 2012 15:17
Valt versturen van privacy gevoelige informatie naar reclame bedrijven (zoals Google zelf) ook onder lek?
raschaoot @Sharkoon25 april 2012 09:21
van http://www.google.com/about/company/rewardprogram.html:
If you have found a vulnerability, please contact us at security@google.com.
Feel free to be succinct: the mailbox is attended by security engineers, and a short proof-of-concept link is more valuable than a video explaining the consequences of an XSS bug.
Oh: if necessary, you can use this PGP key.

[Reactie gewijzigd door raschaoot op 26 juli 2024 23:45]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq