News Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt

Frank

Chefredakteur
Teammitglied
Registriert
März 2001
Beiträge
8.737
Google hat bekannt gegeben, dass das Unternehmen seit Start des Bug-Bounty-Programms im Jahr 2010 mehr als 15 Millionen US-Dollar an Sicherheitsforscher für die Entdeckung von Sicherheitslücken in den Diensten und Programmen des Unternehmens bezahlt hat. Allein im letzten Jahr wurden dabei 3,4 Millionen US-Dollar ausbezahlt.

Zur News: Bug-Bounty-Program: Google hat mehr als 15 Mio. USD für Fehler bezahlt
 
Kurz und knapp:
Finde ich sehr gut und löblich, sofern das Unternehmen natürlich auch selbst sucht.
 
  • Gefällt mir
Reaktionen: Nilo, Vasilev, Mort626 und 5 andere
Und wieviele Millionen hat Google währenddessen bei der Qualitätskontrolle ihrer Software eingespart? ;)
 
  • Gefällt mir
Reaktionen: rob-, flo.murr, violentviper und 5 andere
Aurumvorax schrieb:
Und wieviele Millionen hat Google währenddessen bei der Qualitätskontrolle ihrer Software eingespart? ;)

Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
 
  • Gefällt mir
Reaktionen: halbtuer2, hatschki, Vasilev und 41 andere
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.

Boah, so eine Nachricht auf den Smartphone schreiben geht ja mal ultra schlecht.

@Gajel
Danke!
 
  • Gefällt mir
Reaktionen: halbtuer2
Gajel schrieb:
Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
So abwegig ist seine Frage gar nicht. Das Programm kann man als Wettbieten um Sicherheitslücken sehen, die statt auf Schwarzmarkt dann lieber an den Hersteller (Google) verkauft werden.

Wenn allerdings die eigene Qualitätssicherung von Google gleichzeitig zurückgefahren werden sollte, dann könnte das schon massiv günstiger werden, denn Audits und Tests, die keinen Bug finden, kosten Google dann nichts . Weil die Forscher offenkundig nur bei Fund bezahlt wurden und dann ihre Suchzeit nicht vergütet bekommen. Das Risiko liegt also beim Forscher, ob er seine Zeit in die Suche investiert oder nicht.

Hier ist einer, der hält vordergründig die Info an Apple zurück: https://www.heise.de/mac-and-i/meld...rlaubt-Auslesen-von-Passwoertern-4297437.html Weil es sich für ihn nicht lohnt, da hat die Allgemeinheit auch nix von.

Ist imo schon ein Zweischneidigesschwert diese Bounty Jagd.
 
  • Gefällt mir
Reaktionen: kryzs und Aurumvorax
Crizzo schrieb:
So abwegig ist seine Frage gar nicht. Das Programm kann man als Wettbieten um Sicherheitslücken sehen, die statt auf Schwarzmarkt dann lieber an den Hersteller (Google) verkauft werden.

Aber gerade und genau das ist doch das gute/wichtige an der sache. So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen. Denn an geld für für solche kontrollen wird es google ganz sicher nicht mangeln.
 
  • Gefällt mir
Reaktionen: flo.murr
Gajel schrieb:
Aber gerade und genau das ist doch das gute/wichtige an der sache. So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen. Denn an geld für für solche kontrollen wird es google ganz sicher nicht mangeln.
Nur solange Google das Wettbieten gewinnt, nur solange sich Leute, wie beim Gold schürfen, mit der Hoffnung auf Gewinn in die Suche stürzen und das Risiko leer auszugehen aufsich nehmen und nur solange die Leute nicht drauf sitzen bleiben, bis sich das Bounty im passenden Rahmen bewegt und alles ist nur gut für mich als Kunden, wenn die Qualitätssicherung nicht gleichzeitig zurückgefahren wird.
 
  • Gefällt mir
Reaktionen: kryzs
FreddyMercury schrieb:
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.

Und du meinst ohne das bug-bounty-program wäre das nur ansatzweise anders? Träum weiter!
Wer ein egozentrisches arschloch mit schlechten absichten ist, der ist es auch mit oder ohne solch ein programm. Die 2 sachen haben absolut nix miteinander zu tun!


Crizzo schrieb:
Nur solange Google das Wettbieten gewinnt ...

Deswegen habe ich geschrieben:

So kann man (zusätzlich) dem schwarzmarkt für kritische bug, exploits (wie auch immer) etwas wind aus den segeln nehmen

Natürlich kann man damit nicht alle idioten aufhalten aber wenns nur ein paar sind, hat es sich schon gelohnt!
 
  • Gefällt mir
Reaktionen: Fisico, Ismiley, yummycandy und 2 andere
Gajel schrieb:
Natürlich kann man damit nicht alle idioten aufhalten aber wenns nur ein paar sind, hat es sich schon gelohnt!
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.
 
  • Gefällt mir
Reaktionen: Mort626 und kryzs
15 Mille für die Fehler
Geld das leicht ist wie 'ne Feder
Für den Google den Gigant
Er darf verfehlen ohne Schand
Für Google kein zu hoher Preis
Was wär ich Google, doch DerDichter ich heiß!
 
  • Gefällt mir
Reaktionen: Handsome Nick, Wynn3h, Recharging und 8 andere
Der letzte Absatz des Artikels ist einfach nur traurig, denen sollen die Sicherheitslücken nur so um die Ohren fliegen.

Ansonsten finde ich dieses Bounty System super, auch wenn die Unternehmen etwas mehr springen lassen können was den Anreiz diese nicht auszunutzen nur noch weiter erhöht.
 
Vor den ganzen Bounties wurde einfach ein externes Audit veranstaltet. Man hat also schon immer zusätzlich auf externe Sachverständige zurückgegriffen. Und den Markt für 0dayz gab es logischerweise auch vorher. Da aber jetzt auch öffentliche Wettbewerbe stattfinden (das jährliche Browser hacken z.B.) gibt es eigentlich weniger schwarze Schafe. Die Kunden solcher 0dayz sind im übrigen auch nicht nur andere Programmierer, sondern meist Firmen oder auch staatliche Einrichtungen.
 
  • Gefällt mir
Reaktionen: s0UL1
FreddyMercury schrieb:
Ich finde die Idee von bug bounties gar nicht toll. Klar, es motiviert Leute zum bug finden und das dann zu zeigen, aber dann muss nur mal ein egozentrischen ar*** dabei sein der bug in Software findet die kein bug bounty haben und der meldet den dann halt nicht. So gibt es dann einen Markt für 0day exploits.
Den Markt für 0-days gibt es, weil es Kunden für 0-days gibt. Das Einzige was etwaige BugBounty Programme der Hersteller sind, ist ein Gegenangebot zum Grau- bzw. Schwarzmarkt.
 
  • Gefällt mir
Reaktionen: Mort626, Gajel und kryzs
Crizzo schrieb:
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.

Nicht? Wie betitelst du denn jene, die regelmäßig Lücken in iOS für Exploits ala Jailbreaks kostenfrei anbieten?
Amateure? Würde Apple anstatt sie zu verklagen mehr als nur ein Taschengeld geben wäre der Markt an diesen Dingen schon etwas kleiner denke ich.
 
Lächerliche 15 Mio. in einem Zeitraum von mehr als 8 Jahren. Das bedeutet, dass Google keine 2 Mio. im Jahr ausgibt, also weniger als 0,01 vom Jahresumsatz :):) Das ist nichts, nicht messbar, es ist weniger als ein Tropfen auf den heißen Stein. Ein eigenes Evaluierungscenter, eine eigene, "richtige" Qualitätssicherung würde vermutlich min. 2 Mio. Dolla pro Woche kosten.

Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.

Es ist krank und widerwärtig, dass dieses Verhalten von einigen auch noch als "löblich" betitelt wird. Es ist schlecht für die Kunden. Es ist schlecht für die Entwickler. Es ist sehr schlecht für die Bug-Jäger. Es ist allei nur für die Anleger von Alphabet gut, weil die Rendite um 0,1% steigt.

Mit Fackeln und Mistgabeln sollte man diese Konzerne vom Planeten Erde vertreiben. Aber die Millenials merken nicht, wenn man sie ausbeutet und verarscht. Lieber schimpfen sie auf ihre Eltern, die Boomer, sie hätte die Wirtschaft zerstört. Stand bestimmt mal irgendwo auf Facebnook oder so ..... ARGH!
 
  • Gefällt mir
Reaktionen: HamHeRo, Aurumvorax, christan und eine weitere Person
und? was sind die 15 Millionen denn schon bei Googles gewinnen? btw können die das bestimmt in einigen ländern eh steuerlich geltend machen, als Betriebsausgaben, von daher. es bleibt peanuts^^
Ergänzung ()

Pana schrieb:
Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.

als schlussfolgerung dürften dann auch nur verrückte alpha und betaversionen von spielen "testen". die machen das genauso umsonst und freuen sich, das sie alpha und betaversionen spielen dürfen:)
 
  • Gefällt mir
Reaktionen: Faust II und Mort626
Gajel schrieb:
Wow wie kann man so viel schwachsinn von sich geben. Nur weil google leute belohnt die fehler finden, heißt es doch nicht das google an der qualitätskontrolle spart. Hast schon mal überhaupt irgend was richtiges programmiert und/oder entwickelt?

Vermutlich nicht sonst würdest du nicht so ein blödsinn schreiben.
Er hat eine Frage gestellt. Du könntest sie sachlich beantworten, anstatt irgendwelche Unterstellungen in sein Posting zu interpretieren...
 
  • Gefällt mir
Reaktionen: Booby, g0dy und Aurumvorax
Crizzo schrieb:
Ich glaube halt, dass trifft hier eher Zufallsfunde und Hobbyisten, die halt ohne finanzielles Risiko in ihrer Freizeit nach Bugs suchen. Ein Profi/Team wird sich für 100.000 USD wohl kaum ne Woche hinsetzen und probieren.
Du hast eine merkwürdige Vorstellung von dem Ganzen. Auf dem Niveau hilft der Zufall nicht mehr und Hobbyist ist man auf der Ebene auch nicht mehr, sondern verdient ganz gutes Geld damit sein IT-Wissen einzusetzen.
Wo du recht hast, die Gelder die ausgezahlt werden, sind in vielen Fällen zu gering um das Ganze als Einkommensgrundlage zu nutzen.
Ergänzung ()

Pana schrieb:
Es scheint aber tatsächlich genug Verrückte zu geben, die "aus Spaß" nach Fehlern und Bugs suchen, ohne auch nur einen einzigen Cent zu bekommen. Es sei denn, sie finden ein relevantes Problem. Dann bekommen Sie Geld, um sich für ein paar Tage oder Wochen die Miete leisten zu können. Die meisten finden nix und arbeiten umsonst.
Auf diesem Niveau der IT kommt man nicht umhin viel Zeit in die eigene Fortbildung zu investieren. Das hat mit "verrückt" wenig zu tun, was jedoch wirklich hilft ist Spaß an der Sache ;)
 
Du redest von Schwachsinn ??? Das, was du sagst ist Schwachsinn ... für mich ... aber jedem seine Meinung, und das musst auch du hinnehmen. Also, vor Post abschicken ----> Hirn einschalten ! Und noch wichtiger ... runter vom Ross, zu denken, dass man für die Allgemeinheit redet !
 
Zurück
Oben