Im Jahr 2023 zahlte Google im Rahmen seines Vulnerability Rewards Program (VRP) Bug-Bounty-Prämien in Höhe von 10 Millionen US-Dollar an Sicherheitsforscher weltweit. Das Unternehmen zeichnete 632 Forscher aus 68 Ländern für das Finden und sichere Melden von Sicherheitsproblemen in seinen Produkten und Dienstleistungen aus. Der Betrag ist etwas niedriger als die 12 Millionen US-Dollar, die im Jahr 2022 gezahlt wurden.
Das Bug-Bounty-Programm von Google hat im Jahr 2023 10 Millionen US-Dollar ausgezahlt
Googles VRP gibt es nun schon seit über einem Jahrzehnt. Es vergibt Geldpreise an Sicherheitsforscher für die Meldung von Fehlern in seinen Produkten und Dienstleistungen. Seit 2010 hat das Unternehmen mehr als 59 Millionen US-Dollar an Fehlerprämien ausgezahlt. Die höchste jährliche Auszahlung betrug 12 Millionen US-Dollar im Jahr 2022. Das Preisgeld erreichte letztes Jahr 10 Millionen US-Dollar, was darauf hindeutet, dass sich die Community weiterhin an ihren Sicherheitsbemühungen beteiligt. Die höchste Belohnung, die ein Sicherheitsforscher erhielt, betrug 113.337 US-Dollar.
Laut Google konzentrierten sich die VRP-Teilnehmer im Jahr 2023 stärker auf Probleme mit höherem Schweregrad. Dies ist wahrscheinlich darauf zurückzuführen, dass das Unternehmen die Belohnung für Probleme mit hohem und kritischem Schweregrad erhöht hat. Im vergangenen Mai wurde eine maximale Belohnung von 15.000 US-Dollar für kritische Schwachstellen angekündigt. Der Android-Hersteller begann im Juni außerdem damit, Bonusprämien für Meldungen an bestimmte VRP-Ziele anzubieten, was die Forscher zusätzlich dazu motivierte, kritische Sicherheitslücken aufzuspüren.
Von den 10 Millionen US-Dollar zahlte Google 3,4 Millionen US-Dollar als Belohnung an Forscher für das Auffinden von Schwachstellen in seinem Android-Ökosystem. Der Belohnungsbetrag für Schwachstellen im Chrome-Browser belief sich auf insgesamt 2,1 Millionen US-Dollar. Sicherheitsforscher haben 359 einzigartige Fehlerberichte in Chrome eingereicht. Dazu gehörten „einige sehr aussagekräftige Berichte über seit langem bestehende V8-Fehler, darunter ein Bericht über einen V8-JIT-Optimierungsfehler in Chrome seit mindestens M91.“
Google veranstaltete auf der ESCAL8-Sicherheitskonferenz ein Live-Hacking-Event für Wear OS und Android Automotive OS. Die Forscher entdeckten über 20 kritische Schwachstellen auf den beiden Plattformen und gewannen eine Belohnung von 70.000 US-Dollar. Das Unternehmen veranstaltete auch einen ähnlichen Wettbewerb auf der hardwear.io-Konferenz. Dabei wurden 50 Schwachstellen in Nest, Fitbit und Wearables entdeckt. Forscher, die diese Probleme aufdeckten, kassierten Belohnungen in Höhe von 116.000 US-Dollar.
Generative KI fällt jetzt unter das VRP von Google
Google hat im Jahr 2023 mehrere Änderungen und Verbesserungen an seinem VRP vorgenommen. Neben der Erhöhung der Belohnungen für kritische Fehler und der Einführung von Bonusbelohnungen begann das Unternehmen, Forschern Kopfgelder für das Finden von Fehlern in seinen generativen KI-Produkten wie Gemini, früher bekannt als Bard, anzubieten. Das Unternehmen führte eine Live-Hacking-Veranstaltung namens bugSWAT durch, die auf LLM-Produkte abzielte und bei der 35 Fehlerberichte eingingen, was einer Gesamtprämie von über 87.000 US-Dollar entspricht.
„Wir sind weiterhin bestrebt, die Zusammenarbeit, Innovation und Transparenz mit der Sicherheitsgemeinschaft zu fördern“, sagte das Vulnerability Rewards-Team von Google in einem Blogbeitrag. „Unsere ständige Mission besteht darin, aufkommenden Bedrohungen immer einen Schritt voraus zu sein, uns an die sich entwickelnden Technologien anzupassen und die Sicherheitslage der Produkte und Dienste von Google weiter zu stärken. Wir freuen uns darauf, weiterhin größere Fortschritte in der Welt der Cybersicherheit voranzutreiben.“
