ComputerBase Menü
Aktuelles

News Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt

Bringt leider nichts. Irgendwo in dem Text ist die Antwort bestimmt verborgen, es ist aber eine Seite mit massenweise Text den ich mir nicht durchlesen werde weil irgendjemand hier sicherlich die Antwort kennt. Wenn nicht, auch egal, so brennend interessiert mich die Antwort auch nicht.
 
Soweit ich das sehe wirst du die Antwort in dem verlinkten Dokument auch nicht finden.
Anhand der Beschreibungen dort würde ich aber ganz stark davon ausgehen, dass du Google alles geben musst und dann auf deren gutdünken angewiesen bist.
Jedenfalls steht da nichts was irgendwie was anderes vermuten ließe.
Sprich "up to 200k Dollar" kann auch 36 Cent sein. ;)
 
  • Gefällt mir
Reaktionen: Arcturus128
Blutschlumpf schrieb:
Sprich "up to 200k Dollar" kann auch 36 Cent sein. ;)
Zum Vergrößern anklicken....
Oder man beschäftigt sich, wie die Einstufung von Sicherheitslücken erfolgt und ob man damit evtl. ganz gut abschätzen kann, wo man in der Belohnungstabelle so landen wird.
 
Aha. Und wo ist vertraglich festgelegt was Google zahlen muss, bevor man denen den Bug darlegt? Was sorgt für die Sicherheit, dass Google nicht plötzlich einfach nur "36 Cent" zahlen will?
 
@Leli196
Der Link in Post #41 funktioniert immer noch.

Einfach mal so $US 0.36 bezahlen wollen wenn man einen Bug kommuniziert der branchenüblich eine "critical" Einstufung bekommen würde, wird wohl auch nach US amerikanischer Rechtsprechung nicht durchgehen. Mal ganz abgesehen davon, dass man sich mit solchen Aktionen es sich als Unternehmen so den Ruf* versaut.


*Also nicht beim Endkunden, aber bei den hochkarätigen IT-Experten.
 
Der Link beinhaltet aber nach wie vor keine definitive Aussage zur Frage, er lässt nur erahnen, dass man keinerlei Sicherheit und Garantie hat einen Betrag xy zu bekommen.

Es behauptet ja niemand, dass Google sich drücken will, aber im Grunde ist man auf deren Gutdünken angewiesen.
Und um was anderes ging es in der Frage nicht.

Es mag ja sein, dass man bei 36 Cent recht bekommen würde, aber was würde das Gericht zu 25k Dollar sagen, was zu 50k?
Wenn high bis zu 100k bringt und critical bis zu 200k, impliziert das dann, dass critical auch mindestens 100k bringen muss?

Oder was machst du wenn die behaupten, dass die Lücke schon jemand gemeldet hat?
Das kannst du ja nicht nachvollziehen und auf Verdacht klagen ist da ein ziemliches Risiko.

Ich hatte mich das übrigens auch schon gefragt und fände eine Version seriöser bei der man angibt man hat eine Lücke xy gefunden, die xy bewirkt.
Dann nennt Google deren Einschätzung und einen Preis, setzt ne Vereinbarung auf, erst dann sendet man Details zur Reproduktion an Google.
 
  • Gefällt mir
Reaktionen: Arcturus128
Du siehst da Probleme wo keine sind. Es werden ganz klar Anforderungen genannt was in welcher Form geliefert werden sollte, wenn man die Belohnung bestmöglich ausschöpfen will. Viel genauer sind Anforderungen in der IT oft eh nicht, es fehlen schlicht brauchbare Metriken zum Messen der entsprechenden Qualitäten.
Entsprechend kann man wahrscheinlich mit einem Exploit der zwar eine kritische Lücke ausnutzt sicher auch weniger als 100K erhalten. Eben wenn die Codequalität mies ist, die Dokumentation fehlt und kein Patch mitgeliefert wird.

Die Intransparenz bei gemeldeten Lücken gibt es eigentlich auch nicht. Der Kram wird in der Regel mit einer CVE ID versehen und die Details früher oder später veröffentlicht (vorzugsweise wenn der Patch draußen ist).

Ich hatte mich das übrigens auch schon gefragt und fände eine Version seriöser bei der man angibt man hat eine Lücke xy gefunden, die xy bewirkt.
Dann nennt Google deren Einschätzung und einen Preis, setzt ne Vereinbarung auf, erst dann sendet man Details zur Reproduktion an Google.
Zum Vergrößern anklicken....
Davon ist abzuraten. Versuche von "ich habe eine Lücke, gebt mir Geld!" werden von den meisten Rechtssystemen als Erpressung gewertet. Zudem lässt sich oftmals wirklich erst prüfen ob ab Behauptungen etwas dran ist, wenn entsprechende Offenlegungen erfolgen.
 
Wenn Google von sich aus bewirbt Sicherheitslücken anzukaufen wird das sicherlich nicht als Erpressung deutbar sein.

Und es ist auch nicht unmöglich da "von x bis y" statt "bis zu y" reinzuschreiben.
Man kann doch sehr genau spezifizieren mit welchen Mitteln man was erreicht und da nen Preis dranschreiben.

Erlangung der Rechte des Browsers durch Aufruf einer manipulierten Seite im Chrome: ... Dollar
Umgehung des Android Logins: ... Dollar
Abgreifen von Datenbereich xy im Android ohne passende Berechtigung: ... Dollar
...
Das wird dan von mir aus ne Liste von vielen Seiten.

Ne Anleitung das zu reproduzieren muss natürlich dabei sein, für den passenden Patch schreibt man dann nochmal x Euro Extra drauf.
Evtl. gibts ja Leute, die ne Lücke finden (evtl. auch zufällig), aber die nicht zwangsläufig auch beheben können.
 
Bug Bounties sind eben keine Aufkäufe. Von dieser Auffassung solltest du dich trennen.

In vielen westlichen Staaten wird Hacking aus Gründen der eigenen Bereicherung als Verbrechen angesehen. Dinge zu zerforschen und daraus resultierendes Wissen frei zu teilen jedoch nicht. Wenn nun jemand sein Wissen um Schwachstellen verkaufen will, wird das als versuchte Bereicherung gelten. Wenn man sein Wissen "frei" an Google gibt und die sich dann mit einer Gegenleistung bedanken, ist das ganz was Anderes(*).
Vergleichbar ist das ganze grob wohl eher mit Finderlohn.

Zu deiner Liste an von Bedingungen, das sagen die Tabellen die die Beträge grob an die Kritikalität von Exploits knüpfen. Anstatt irgendwas zu behaupten / zu fordern lies halt einfach mal nach:
https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
und weiterführend dann zu CVSS. Wenn man in der Branche aktiv ist enthält die vierzeilige Tabelle alle Informationen die man benötigt.



* Wohl auch, wenn es rein zufällig eine Dokumentation zur den entsprechenden Bedingungen und Höhen dieser freiwilligen Belohnung gibt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Vitche
News Gearbox: Take Two kauft Borderlands-Entwickler für 460 Mio. US-Dollar
2 3
Antworten
44
Aufrufe
3.726
BridaX
BridaX
Wolfgang
News Radeon RX 6600 XT vorgestellt: Mehr Leistung als RX 5700 XT und RTX 3060 für 379 USD
24 25 26
Antworten
517
Aufrufe
95.584
katamaran3060
K
MichaG
News Quartalszahlen: AMD macht 93 Prozent mehr Umsatz als vor einem Jahr
9 10 11
Antworten
205
Aufrufe
32.924
ETI1120
E
Volker
Notiz 240 Millionen USD: Nuvia bekommt mehr Geld für Custom-ARM-Prozessor
Antworten
10
Aufrufe
1.895
beercarrier
B
Verangry
Leserartikel CPU und Bios Guide für Ryzen 3000 (und älter)
5 6 7
Antworten
130
Aufrufe
149.874
Tanzmusikus
Tanzmusikus

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz