News Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt

Frank

Chefredakteur
Teammitglied
Dabei seit
März 2001
Beiträge
5.603
Google hat bekannt gegeben, dass das Unternehmen seit Start des Bug-Bounty-Programms im Jahr 2010 mehr als 15 Millionen US-Dollar an Sicherheitsforscher für die Entdeckung von Sicherheitslücken in den Diensten und Programmen des Unternehmens bezahlt hat. Allein im letzten Jahr wurden dabei 3,4 Millionen US-Dollar ausbezahlt.

Zur News: Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt
 

Gajel

Lt. Commander
Dabei seit
Mai 2010
Beiträge
1.126
Und wieviele Millionen hat Google währenddessen bei der Qualitätskontrolle ihrer Software eingespart? ;)
Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
 

FreddyMercury

Commodore
Dabei seit
Dez. 2002
Beiträge
4.978
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.

Boah, so eine Nachricht auf den Smartphone schreiben geht ja mal ultra schlecht.

@Gajel
Danke!
 

Crizzo

Commander
Dabei seit
Juli 2005
Beiträge
2.063
Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
So abwegig ist seine Frage gar nicht. Das Programm kann man als Wettbieten um Sicherheitslücken sehen, die statt auf Schwarzmarkt dann lieber an den Hersteller (Google) verkauft werden.

Wenn allerdings die eigene Qualitätssicherung von Google gleichzeitig zurückgefahren werden sollte, dann könnte das schon massiv günstiger werden, denn Audits und Tests, die keinen Bug finden, kosten Google dann nichts . Weil die Forscher offenkundig nur bei Fund bezahlt wurden und dann ihre Suchzeit nicht vergütet bekommen. Das Risiko liegt also beim Forscher, ob er seine Zeit in die Suche investiert oder nicht.

Hier ist einer, der hält vordergründig die Info an Apple zurück: https://www.heise.de/mac-and-i/meldung/Sicherheitsforscher-Kritische-Luecke-in-macOS-erlaubt-Auslesen-von-Passwoertern-4297437.html Weil es sich für ihn nicht lohnt, da hat die Allgemeinheit auch nix von.

Ist imo schon ein Zweischneidigesschwert diese Bounty Jagd.
 

Gajel

Lt. Commander
Dabei seit
Mai 2010
Beiträge
1.126
So abwegig ist seine Frage gar nicht. Das Programm kann man als Wettbieten um Sicherheitslücken sehen, die statt auf Schwarzmarkt dann lieber an den Hersteller (Google) verkauft werden.
Aber gerade und genau das ist doch das gute/wichtige an der sache. So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen. Denn an geld für für solche kontrollen wird es google ganz sicher nicht mangeln.
 

Crizzo

Commander
Dabei seit
Juli 2005
Beiträge
2.063
Aber gerade und genau das ist doch das gute/wichtige an der sache. So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen. Denn an geld für für solche kontrollen wird es google ganz sicher nicht mangeln.
Nur solange Google das Wettbieten gewinnt, nur solange sich Leute, wie beim Gold schürfen, mit der Hoffnung auf Gewinn in die Suche stürzen und das Risiko leer auszugehen aufsich nehmen und nur solange die Leute nicht drauf sitzen bleiben, bis sich das Bounty im passenden Rahmen bewegt und alles ist nur gut für mich als Kunden, wenn die Qualitätssicherung nicht gleichzeitig zurückgefahren wird.
 

Gajel

Lt. Commander
Dabei seit
Mai 2010
Beiträge
1.126
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.
Und du meinst ohne das bug-bounty-program wäre das nur ansatzweise anders? Träum weiter!
Wer ein egozentrisches arschloch mit schlechten absichten ist, der ist es auch mit oder ohne solch ein programm. Die 2 sachen haben absolut nix miteinander zu tun!


Nur solange Google das Wettbieten gewinnt ...
Deswegen habe ich geschrieben:

So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen
Natürlich kann man damit nicht alle idioten aufhalten aber wenns nur ein paar sind, hat es sich schon gelohnt!
 

Crizzo

Commander
Dabei seit
Juli 2005
Beiträge
2.063
Natürlich kann man damit nicht alle idioten aufhalten aber wenns nur ein paar sind, hat es sich schon gelohnt!
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.
 

DerDichter

Banned
Dabei seit
Feb. 2019
Beiträge
29
15 Mille für die Fehler
Geld das leicht ist wie 'ne Feder
Für den Google den Gigant
Er darf verfehlen ohne Schand
Für Google kein zu hoher Preis
Was wär ich Google, doch DerDichter ich heiß!
 

RAZORLIGHT

Lt. Junior Grade
Dabei seit
Dez. 2012
Beiträge
500
Der letzte Absatz des Artikels ist einfach nur traurig, denen sollen die Sicherheitslücken nur so um die Ohren fliegen.

Ansonsten finde ich dieses Bounty System super, auch wenn die Unternehmen etwas mehr springen lassen können was den Anreiz diese nicht auszunutzen nur noch weiter erhöht.
 

yummycandy

Lt. Commander
Dabei seit
März 2005
Beiträge
1.665
Vor den ganzen Bounties wurde einfach ein externes Audit veranstaltet. Man hat also schon immer zusätzlich auf externe Sachverständige zurückgegriffen. Und den Markt für 0dayz gab es logischerweise auch vorher. Da aber jetzt auch öffentliche Wettbewerbe stattfinden (das jährliche Browser hacken z.B.) gibt es eigentlich weniger schwarze Schafe. Die Kunden solcher 0dayz sind im übrigen auch nicht nur andere Programmierer, sondern meist Firmen oder auch staatliche Einrichtungen.
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.565
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.
Den Markt für 0-days gibt es, weil es Kunden für 0-days gibt. Das Einzige was etwaige BugBounty Programme der Hersteller sind, ist ein Gegenangebot zum Grau- bzw. Schwarzmarkt.
 

das_mav

Captain
Dabei seit
März 2012
Beiträge
3.977
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.
Nicht? Wie betitelst du denn jene, die regelmäßig Lücken in iOS für Exploits ala Jailbreaks kostenfrei anbieten?
Amateure? Würde Apple anstatt sie zu verklagen mehr als nur ein Taschengeld geben wäre der Markt an diesen Dingen schon etwas kleiner denke ich.
 

Pana

Lt. Commander
Dabei seit
Dez. 2005
Beiträge
1.109
Lächerliche 15 Mio. in einem Zeitraum von mehr als 8 Jahren. Das bedeutet, dass Google keine 2 Mio. im Jahr ausgibt, also weniger als 0,01 vom Jahresumsatz :):) Das ist nichts, nicht messbar, es ist weniger als ein Tropfen auf den heißen Stein. Ein eigenes Evaluierungscenter, eine eigene, "richtige" Qualitätssicherung würde vermutlich min. 2 Mio. Dolla pro Woche kosten.

Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.

Es ist krank und widerwärtig, dass dieses Verhalten von einigen auch noch als "löblich" betitelt wird. Es ist schlecht für die Kunden. Es ist schlecht für die Entwickler. Es ist sehr schlecht für die Bug-Jäger. Es ist allei nur für die Anleger von Alphabet gut, weil die Rendite um 0,1% steigt.

Mit Fackeln und Mistgabeln sollte man diese Konzerne vom Planeten Erde vertreiben. Aber die Millenials merken nicht, wenn man sie ausbeutet und verarscht. Lieber schimpfen sie auf ihre Eltern, die Boomer, sie hätte die Wirtschaft zerstört. Stand bestimmt mal irgendwo auf Facebnook oder so ..... ARGH!
 

feidl74

Lieutenant
Dabei seit
März 2013
Beiträge
883
und? was sind die 15 Millionen denn schon bei Googles gewinnen? btw können die das bestimmt in einigen ländern eh steuerlich geltend machen, als Betriebsausgaben, von daher. es bleibt peanuts^^
Ergänzung ()

Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.
als schlussfolgerung dürften dann auch nur verrückte alpha und betaversionen von spielen "testen". die machen das genauso umsonst und freuen sich, das sie alpha und betaversionen spielen dürfen:)
 

storkstork

Ensign
Dabei seit
März 2010
Beiträge
212
Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
Er hat eine Frage gestellt. Du könntest sie sachlich beantworten, anstatt irgendwelche Unterstellungen in sein Posting zu interpretieren...
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.565
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.
Du hast eine merkwürdige Vorstellung von dem Ganzen. Auf dem Niveau hilft der Zufall nicht mehr und Hobbyist ist man auf der Ebene auch nicht mehr, sondern verdient ganz gutes Geld damit sein IT-Wissen einzusetzen.
Wo du recht hast, die Gelder die ausgezahlt werden, sind in vielen Fällen zu gering um das Ganze als Einkommensgrundlage zu nutzen.
Ergänzung ()

Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.
Auf diesem Niveau der IT kommt man nicht umhin viel Zeit in die eigene Fortbildung zu investieren. Das hat mit "verrückt" wenig zu tun, was jedoch wirklich hilft ist Spaß an der Sache ;)
 

Sweettime

Cadet 4th Year
Dabei seit
Feb. 2006
Beiträge
94
Du redest von Schwachsinn ??? Das, was du sagst ist Schwachsinn ... für mich ... aber jedem seine Meinung, und das musst auch du hinnehmen. Also, vor Post abschicken ----> Hirn einschalten ! Und noch wichtiger ... runter vom Ross, zu denken, dass man für die Allgemeinheit redet !
 
Top