Offensive Services

Google zahlt 6,5 Millionen USD an Hacker aus

Aktualisiert am

Google zahlt 6,5 Millionen USD an Hacker aus und erhöht so das IT-Sicherheitslevel enorm. Erfolgreiche Bug Bounty Programme sind zwar teuer, aber Sicherheitsvorfälle sind teurer! Eine Summe von 6,5 Millionen USD zieht Aufmerksamkeit auf sich. Doch google hat früh verstanden, was es bedeutet die eigenen Daten zu verlieren. Für moderne Geschäftsmodelle und Unternehmen sollte der Umgang mit Sicherheitslücken geregelt sein. Es gibt ausreichend gute wie schlechte Beispiele!

Melden von Sicherheitslücken vor Bug Bountys

In den frühen 200er Jahren war es gängige Praxis vieler Sicherheitsforscher ihre gefundenen Schwachstellen direkt im Internet zu veröffentlichen. Dies hatte viele Nachteile – sowohl für die Unternehmen welche dadurch direkt angreifbar wurden, als auch für die Sicherheitsforscher. Diese zogen sich mit ihrem Verhalten den Zorn vieler Unternehmen auf sich und wurden in lange Rechtsstreits verwickelt, welche selten gut für diese ausgingen. Diese Veröffentlichungen finden teils heute noch statt und sind auf der Full-Disclosure Mailingliste zu finden.

Aus diesen Problemen entwickelte sich das Prinzip der Responsible Disclosure. Dabei melden die Sicherheitsforscher die gefundenen Lücken an die Unternehmen. Diese erhielten aber eine Deadline bis wann die Sicherheitslücke geschlossen werden sollte. Danach veröffentlichen die Sicherheitsforscher diese. Auch dies führte häufig zu Problemen, da Unternehmen die Lücken nicht schlossen sondern eher versuchten diese zu vertuschen. Doch das änderte sich Mitte der 2010er Jahre mit der Einführung von Google’s Bug Bountys.

Melden von Sicherheitslücken heutzutage

Heutzutage gibt es viele Unternehmen und Dienstleister welche Bug Bounty Programme anbieten. Eines der größten Programme betreibt Google. Ein Bug Bounty ist eine Art Kopfgeld, welche ein Unternehmen auf Sicherheitslücken auslobt. Dadurch werden Sicherheitsforscher motiviert Unternehmen auf Sicherheitslücken hin zu untersuchen und mit diesen kooperativ zu arbeiten.

Unternehmen greifen für das Betreiben eines Bug Bounty Programms oft auf Dienstleister wie z.B. HackerOne, Bugcrowd oder YesWeHack zurück. Aber einige große Unternehmen wie Google betreiben diese Dienste auch selbst. Google zahlt 6,5 Millionen USD an Hacker aus, welche an Ihrem Bug Bounty teilgenommen haben.

Die ausgezahlten Kopfgelder variieren dabei stark zwischen 100 USD und 31.337 USD. Wenn mehrere Sicherheitslücken entdeckt und zusammen genutzt werden können, dann erhöht sich die Summe. Die höchste so erreichte Summe wurde an den Sicherheitsforscher Guang Gong ausgezahlt, der es durch mehrer verkettete Sicherheitslücken schaffte das Pixel 3 Smartphone komplett aus der Ferne zu übernehmen. Dieser erhielt dafür 201.337 USD.

Google's Bug Bounties
Google’s Bug Bounties und deren Belohnungen

Google’s Bug Bountys als Vorbild?

Heutzutage sind Bug Bounty Programme keine Seltenheit mehr. Dennoch gibt es viele Unternehmen, die diese Chance zur Verbesserung ihrer IT-Sicherheit nicht nutzen. Viele professionelle IT-Sicherheitsexperten verbringen Ihre Freizeit damit an Bug Bounty Programmen teilzunehmen.

So nimmt auch unser Team an Pentestern regelmäßig an Bug Bounty Programmen teil und verbessert so ihr Wissen und Können in diesem Bereich. Damit möglichst alle davon profitieren können, empfiehlt es sich für Unternehmen jeder Größe detaillierte Kontakte für die Meldung von Sicherheitslücken online zu benennen.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.