Bis zu 3133,7 US-Dollar für Lücken in Google-Diensten

[pima]

Von leet zu eleet: Google dehnt sein Security Bug Bounty Program aus und bläst nun zum Angriff auf seine Webanwendungen. Gleichzeitig erhöht Google dort die höchste zu erreichende Prämie auf 3133,7 US-Dollar. Bisher galt des Programm nur für Lücken im Webbrowser Chrome; die höchste zu erreichende Prämie liegt dort von seltenen Ausnahmefällen abgesehen zwischen 500 und 1337 US-Dollar.

Das neue Programm umfasst alle Google-Dienste, die in den Domains google.com, youtube.com, blogger.com und orkut.com laufen. Insbesondere das Finden von Cross-Site-Scripting-, Cross-Site-Request-Forgery- und Cross-Site-Script-Inclusion-Lücken soll im Fokus stehen. Aber auch das Austricksen oder Umgehen von Authentifizierungs- und Autorisierungsfunktionen sollen Sicherheitsforscher aufs Korn nehmen.

Ausgenommen von der Schwachstellensuche sind Googles Unternehmensinfrastruktur, Social-Engineering-Attacken, Denial-of-Service-Schwachstellen und betrügerische Suchmaschinen-Optimierungsmanipulationen. Um die Verfügbarkeit der Dienste nicht zu beeinträchtigen, bittet Google darum, keine automatisierten Tests auf seine Server durchzuführen. Zudem sind Googles Software-Produkte Android, Picasa und Google Desktop weiterhin nicht Bestandteil des Fehlersuchprogramms.

Die höchste Prämie von 3133,7 US-Dollar gibt es nur für besonders clevere oder ungewöhnliche Lücken respektive Angriffe. Weitere Einzelheiten über die Modalitäten des Programms finden sich im Google Security-Blog. Google erhofft sich von dem Schritt, seine Dienste sicherer zu machen.

Quelle


Ja dann mal los ^^

[Apex]

Google erhofft sich von dem Schritt, seine Dienste sicherer zu machen.

Oder auch nicht.

Scheint aber in letzter Zeit im Trend zu sein, dass man Geld dafür zahlt damit andere Leute nach Lücken suchen. Wirkt auf mich persönlich aber ganz positiv. Nur weiter so!

[shoei]

Die höchste Prämie von 3[133,7] US-Dollar haha
ja... das machen im moment viele firmen, hat es die deutsche post nicht auch gemacht, mit dem e-brief?

[conrado]

naja denke ma ne Lücke bei google ist mehr wert als 40k € oder?

[Jury]

Kommt dann darauf an, wo du eine Lücke findest. Eine Lücke mit der du auf die Nutzerdatenbank von YouTube usw. zugreifen kannst ist fast unbezahlbar.

[SFX]

damit eine Lücke 40k € Wert ist müsste man damit diese 40k beschaffen können..

und versuch das mal mit einem Bufferoverflow im Chrome oder einer XSS verwundbarkeit..

Wenn man sich die Google Datenbank ziehen könnte wäre das natürlich fatal, aber da lädst du erstmal ein paar Jahre..

[Cristhecrusader]

ist ja "nur" google chrome...
Firefox zahlt doch 5000 oder?

[GregorSamsa]

Also mit 40k hättest du die Arbeitsstunden um nen BOF zu finden, zu exploiten, eventuelle Speicherschutzmechanismen austricksen, das ganze remote in jedem Falle einsatzfertig zu machen und eventuelle IDS zu umgehen gerade mal angebracht...

Warum bin ich mir nur sooo sicher, das ihr alle noch nie ne richtige Lücke gefunden habt...