Beheer

Security
Money

Bug bounties kostten Google 6 miljoen

© CC BY 2.0 - Flickr.com,  PRO401(K)
29 januari 2016
Bounty hunter kan in de IT een lucratief beroep zijn. In 6 jaar tijd keerde Google al 6 miljoen dollar uit aan onafhankelijke beveiligingsonderzoekers die kwetsbaarheden aan het licht brachten.

De hoogste uitkering die Google aan een onderzoeker deed was 37.500 dollar, blijkt uit een rapport dat Google gisteren vrijgaf. Het afgelopen jaar betaalde Google meer dan 2 miljoen dollar aan de vinders van in totaal 750 bugs.

Google startte het bug bounty programma in 2010. Het doel is externe testers te motiveren en wanneer zij fouten in de software vinden deze te melden bij Google, in plaats van ze te exploiteren voor hun eigen gewin. Het programma blijkt succesvol. Zodanig zelfs dat Google vorig jaar het programma uitbreidde naar apps voor Android en iOS. Ook is er inmiddels een programma waarin Google het onderzoek voorfinanciert.

Bug in de bugmelding

De meest productieve bug hunter is volgens Google Tomasz Bojarski. Hij voert de lijst aan met alleen al in 2015 70 bugs in Googleproducten. Hij vond zelfs een bug in het formulier waarmee bug hunters hun melding moeten doorgeven aan Google.

Een andere opmerkelijke bug in Googles systemen zat in Google Domains, waarmee Google zelf als registrar optreedt voor het vastleggen van domeinnamen. Een voormalig werknemer van Google, die nu aan de slag is bij Amazon, was vorig jaar wat aan het proberen in het systeem en tikte uit ballorigheid google.com in. Tot zijn verbazing toonde het systeem het domein als 'beschikbaar' en hij kon het kopen voor 12 dollar. De fout werd echter snel teruggedraaid en hij kreeg zijn 12 dollar terug plus uiteindelijk 6006,13 dollar, een nummerieke vertaling van het woord Google. Toen het Google duidelijk werd dat deze Sanmay Ved het bedrag overmaakte aan een goed doel heeft Google het bedrag verdubbeld.

Google is zeker niet het enige bedrijf dat beloningen uitkeert aan de ontdekkers van bugs. Alle grote techbedrijven hebben inmiddels in enige vorm zo'n bugbounty-programma.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.