De beloning die Google uitdeelt aan beveiligingsonderzoekers voor het vinden van lekken in Google Chrome is volgens experts "belachelijk." De zoekgigant kondigde eind januari een nieuw initiatief aan, waarbij het voor normale lekken 500 dollar betaalt, terwijl erge kwetsbaarheden 1.337 dollar waard zijn. "Ik vind het belachelijk", zegt hacker en onderzoeker Charlie Miller. Hij noemt het de beloningen die Google via het beloningsprogramma uitdeelt een belediging: "Het is zo laag."

Volgens Cigital CTO Gary McGraw kan Google beter geld uitgeven aan professionele QA (quality assurance) personen en pentesters, dan te verwachten dat het publiek dit voor weinig doet. "Geen enkele goede professionele tester die ik ken, wordt door zo'n beloning aangetrokken, misschien dat jongeren het doen om er bier mee te kopen." Miller riep onderzoekers vorig jaar op om geen "gratis bugs" meer weg te geven, maar is teleurgesteld in de beloning van Google. "Als ik een lek in Chrome vind, kan ik het aan het Zero Day Initiative verkopen en 2.000 dollar verdienen en wordt het uiteindelijk toch aan Google gemeld, dus waarom zou ik het dan voor 500 dollar aan Google geven? Dat slaat nergens op."

Compensatie
Jeremiah Grossman, CTO en mede-oprichter van WhiteHat Security, ziet in Google's plan een mogelijk interessante trend, waarbij onderzoekers zelf kunnen kiezen aan we zie hun lek verkopen. "Ik zeg al tijden dat Microsoft dit moet doen, maar ze hebben er een probleem mee." De softwaregigant looft namelijk geen beloningen uit, maar bedankt onderzoekers via de Security Bulletins voor hun bijdrage.

"Microsoft biedt geen compensatie voor informatie over beveiligingslekken. We geloven niet dat dit de beste manier is waarop we onze klanten kunnen beschermen", zegt Dave Forstrom, group manager Microsoft Trustworthy Computing. "We denken ook dat dit niet bevorderlijk voor de groei van een gezond ecosysteem is." Google laat in een reactie op de lage beloning weten dat het geen exploits vereist en het bijna alle bugs beloont.