Das Bug Hunters Programm und das Jahr 2022

Allein im vergangenen Jahr wurden mehr als 2.900 Fehler über das VRP gemeldet und behoben, und es wurden über 12 Millionen US-Dollar an Prämien zwischen über 700 Forschern verteilt, so der Security Blog von Google. Die höchste Auszahlung lag im vergangenen Jahr bei über 600.000 US-Dollar. Insgesamt wurden seit dem Jahr 2015 über 45 Millionen US-Dollar ausgezahlt.

Das Programm wurde im Laufe der Jahre erweitert und vereinfacht und hat eine neue Form. Unter dem Dach von Bug Hunters werden die individuellen Prämienprogramme für die verschiedenen Produkte von Google (z.B. Google Search, Android, Chrome, Play) zusammengeführt. Dies ermöglicht eine einheitliche Plattform, über die Sicherheitslücken gemeldet werden können. Das Programm führt auch eine Art Spielmechanik in Form von länderspezifischen Bestenlisten und Auszeichnungsabzeichen ein, um die Interaktion und den Wettbewerb innerhalb der Gemeinschaft zu fördern. Um den Forschern zu helfen, ihre Fähigkeiten zur Fehlerjagd zu verbessern und ihre Berichte zu verbessern, hat das Unternehmen eine Bibliothek mit Bildungsressourcen veröffentlicht, die unter einem Bereich der Plattform namens Bug Hunter University untergebracht sind.

Von hier aus können die Forscher erfolgreiche Berichte aus der Vergangenheit einsehen, vorgeschlagene Bug-Ziele durchsuchen und lernen, wie man eine Offenlegung richtig vorbereitet und formatiert. Google ermutigt die Nutzer auch dazu, Berichte über Fehler in freier und Open-Source-Software einzureichen, die ebenfalls für eine Belohnung im Rahmen des Programms in Frage kommen könnten.

Verdoppelung der Prämien

Die aktuellen Prämien wurden bereits im Jahr 2022 angehoben. Google hat angekündigt, dass die Prämien für Bug-Jäger, die funktionierende Exploits für eine Reihe von Zero-Day- und One-Day-Schwachstellen über eine Vielzahl von Plattformen demonstrieren können, verdoppelt werden, wie ITPro berichtet. Diese Erhöhungen gelten für Exploits, die im Linux Kernel, Kubernetes, Google Kubernetes Engine oder Kubernetes-basierte Infrastruktur für Capture the Flag-Übungen entdeckt wurden.

Die Prämien für gültige One-Day-Sicherheitsexploits wurden auf bis zu 71.337 US-Dollar mehr als verdoppelt, von zuvor 31.337 US-Dollar. One-Days sind öffentlich bekannte Sicherheitslücken, für die Patches vorhanden sind, aber Google bietet Prämien für neuartige Exploits in diesen Fällen an. Bug-Jäger, die Prämien für gültige One-Day-Exploits suchen, müssen in ihrem Bericht einen Link zum vorhandenen Patch bereitstellen. Google hat auch angekündigt, dass es die Anzahl der Prämien für One-Day-Sicherheitslücken auf nur eine Version oder einen Build beschränken wird.

Gültige Exploits für zuvor unbekannte Zero-Day-Schwachstellen werden fast verdoppelt, mit einer maximalen Belohnung von 91.337 US-Dollar, gegenüber zuvor 50.337 US-Dollar. Zero-Day-Schwachstellen ziehen in der Regel höhere Prämien an, weil jeder Anbieter immer die Schwäche sichern möchte, bevor Nachrichten darüber jemals Cyberkriminelle erreichen.

Erhöhung auch für Chrome

Wie Yahoo Finance berichtet, hat Google ebenfalls eine erhebliche Erhöhung der Belohnungen für sein Schwachstellen-Belohnungsprogramm für Chrome angekündigt. Bis Anfang Dezember 2023 hat Google Prämientöpfe von bis zu 180.000 US-Dollar für die Entdeckung von Sicherheitslücken in Chrome zur Verfügung gestellt.

Die erste Meldung eines Sicherheitsproblems mit einem funktionierenden Full-Chain-Exploit, der zu einem Ausbruch aus der Chrome-Sandbox führt, könnte für das Dreifache der regulären Belohnung in Frage kommen. Dies bedeutet, dass Belohnungen zwischen 165.000 und 180.000 US-Dollar erwartet werden können.

Zusätzlich zu dieser signifikanten Summe könnten weitere Boni zur Verfügung stehen. Nachfolgende vollständige Exploit-Ketten, die über das Schwachstellen-Belohnungsprogramm bei Google eingereicht werden, könnten für den doppelten Betrag der vollen Belohnung in Frage kommen, d.h. zwischen 110.000 und 120.000 US-Dollar.

Redaktion finanzen.net