News Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt

Arcturus128

Commander
Dabei seit
Apr. 2015
Beiträge
2.811
Bringt leider nichts. Irgendwo in dem Text ist die Antwort bestimmt verborgen, es ist aber eine Seite mit massenweise Text den ich mir nicht durchlesen werde weil irgendjemand hier sicherlich die Antwort kennt. Wenn nicht, auch egal, so brennend interessiert mich die Antwort auch nicht.
 

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
18.577
Soweit ich das sehe wirst du die Antwort in dem verlinkten Dokument auch nicht finden.
Anhand der Beschreibungen dort würde ich aber ganz stark davon ausgehen, dass du Google alles geben musst und dann auf deren gutdünken angewiesen bist.
Jedenfalls steht da nichts was irgendwie was anderes vermuten ließe.
Sprich "up to 200k Dollar" kann auch 36 Cent sein. ;)
 

Arcturus128

Commander
Dabei seit
Apr. 2015
Beiträge
2.811
Aha. Und wo ist vertraglich festgelegt was Google zahlen muss, bevor man denen den Bug darlegt? Was sorgt für die Sicherheit, dass Google nicht plötzlich einfach nur "36 Cent" zahlen will?
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.639
@Leli196
Der Link in Post #41 funktioniert immer noch.

Einfach mal so $US 0.36 bezahlen wollen wenn man einen Bug kommuniziert der branchenüblich eine "critical" Einstufung bekommen würde, wird wohl auch nach US amerikanischer Rechtsprechung nicht durchgehen. Mal ganz abgesehen davon, dass man sich mit solchen Aktionen es sich als Unternehmen so den Ruf* versaut.


*Also nicht beim Endkunden, aber bei den hochkarätigen IT-Experten.
 

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
18.577
Der Link beinhaltet aber nach wie vor keine definitive Aussage zur Frage, er lässt nur erahnen, dass man keinerlei Sicherheit und Garantie hat einen Betrag xy zu bekommen.

Es behauptet ja niemand, dass Google sich drücken will, aber im Grunde ist man auf deren Gutdünken angewiesen.
Und um was anderes ging es in der Frage nicht.

Es mag ja sein, dass man bei 36 Cent recht bekommen würde, aber was würde das Gericht zu 25k Dollar sagen, was zu 50k?
Wenn high bis zu 100k bringt und critical bis zu 200k, impliziert das dann, dass critical auch mindestens 100k bringen muss?

Oder was machst du wenn die behaupten, dass die Lücke schon jemand gemeldet hat?
Das kannst du ja nicht nachvollziehen und auf Verdacht klagen ist da ein ziemliches Risiko.

Ich hatte mich das übrigens auch schon gefragt und fände eine Version seriöser bei der man angibt man hat eine Lücke xy gefunden, die xy bewirkt.
Dann nennt Google deren Einschätzung und einen Preis, setzt ne Vereinbarung auf, erst dann sendet man Details zur Reproduktion an Google.
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.639
Du siehst da Probleme wo keine sind. Es werden ganz klar Anforderungen genannt was in welcher Form geliefert werden sollte, wenn man die Belohnung bestmöglich ausschöpfen will. Viel genauer sind Anforderungen in der IT oft eh nicht, es fehlen schlicht brauchbare Metriken zum Messen der entsprechenden Qualitäten.
Entsprechend kann man wahrscheinlich mit einem Exploit der zwar eine kritische Lücke ausnutzt sicher auch weniger als 100K erhalten. Eben wenn die Codequalität mies ist, die Dokumentation fehlt und kein Patch mitgeliefert wird.

Die Intransparenz bei gemeldeten Lücken gibt es eigentlich auch nicht. Der Kram wird in der Regel mit einer CVE ID versehen und die Details früher oder später veröffentlicht (vorzugsweise wenn der Patch draußen ist).

Ich hatte mich das übrigens auch schon gefragt und fände eine Version seriöser bei der man angibt man hat eine Lücke xy gefunden, die xy bewirkt.
Dann nennt Google deren Einschätzung und einen Preis, setzt ne Vereinbarung auf, erst dann sendet man Details zur Reproduktion an Google.
Davon ist abzuraten. Versuche von "ich habe eine Lücke, gebt mir Geld!" werden von den meisten Rechtssystemen als Erpressung gewertet. Zudem lässt sich oftmals wirklich erst prüfen ob ab Behauptungen etwas dran ist, wenn entsprechende Offenlegungen erfolgen.
 

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
18.577
Wenn Google von sich aus bewirbt Sicherheitslücken anzukaufen wird das sicherlich nicht als Erpressung deutbar sein.

Und es ist auch nicht unmöglich da "von x bis y" statt "bis zu y" reinzuschreiben.
Man kann doch sehr genau spezifizieren mit welchen Mitteln man was erreicht und da nen Preis dranschreiben.

Erlangung der Rechte des Browsers durch Aufruf einer manipulierten Seite im Chrome: ... Dollar
Umgehung des Android Logins: ... Dollar
Abgreifen von Datenbereich xy im Android ohne passende Berechtigung: ... Dollar
...
Das wird dan von mir aus ne Liste von vielen Seiten.

Ne Anleitung das zu reproduzieren muss natürlich dabei sein, für den passenden Patch schreibt man dann nochmal x Euro Extra drauf.
Evtl. gibts ja Leute, die ne Lücke finden (evtl. auch zufällig), aber die nicht zwangsläufig auch beheben können.
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.639
Bug Bounties sind eben keine Aufkäufe. Von dieser Auffassung solltest du dich trennen.

In vielen westlichen Staaten wird Hacking aus Gründen der eigenen Bereicherung als Verbrechen angesehen. Dinge zu zerforschen und daraus resultierendes Wissen frei zu teilen jedoch nicht. Wenn nun jemand sein Wissen um Schwachstellen verkaufen will, wird das als versuchte Bereicherung gelten. Wenn man sein Wissen "frei" an Google gibt und die sich dann mit einer Gegenleistung bedanken, ist das ganz was Anderes(*).
Vergleichbar ist das ganze grob wohl eher mit Finderlohn.

Zu deiner Liste an von Bedingungen, das sagen die Tabellen die die Beträge grob an die Kritikalität von Exploits knüpfen. Anstatt irgendwas zu behaupten / zu fordern lies halt einfach mal nach:
https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
und weiterführend dann zu CVSS. Wenn man in der Branche aktiv ist enthält die vierzeilige Tabelle alle Informationen die man benötigt.



* Wohl auch, wenn es rein zufällig eine Dokumentation zur den entsprechenden Bedingungen und Höhen dieser freiwilligen Belohnung gibt.
 
Top