Google gaat hackers ook betalen voor lekken die ze in webapplicaties als YouTube, Gmail, Blogger en Orkut vinden, zo heeft de zoekgigant laten weten. Begin januari kondigde Google al een beloningsprogramma voor de Google Chrome browser aan, waarmee het rapporteren van beveiligingslekken op een verantwoorde wijze wil belonen. Dankzij het programma is het aantal bugmeldingen in Chrome toegenomen en Google wil dat nu ook voor alle online webapplicaties die het aanbiedt.

Het gaat onder andere om de domeinen en applicaties die op *.google.com, *.youtube.com, *.blogger.com en *.orkut.com draaien. Vooralsnog geldt het beloningsprogramma niet voor Google's client applicaties, zoals Android, Picasa en Google desktop. De zoekgigant is vooral op zoek naar problemen zoals cross-site scripting XSRF / CSRF, XSSI (cross-site script inclusion), het omzeilen van autorisatie controls en server side code execution of command injection.

Het is niet de bedoeling dat hackers Google's zakelijke infrastructuur aanvallen, social engineering en fysieke aanvallen uitvoeren en SEO blackhat technologieën toepassen. Daarnaast mogen onderzoekers alleen op eigen accounts testen en niet de gegevens van andere Google-gebruikers schelen. Verder mogen ook minderjarigen en mensen uit Cuba, Iran, Noord-Korea, Soedan en Syrië niet meedoen.

Beloning
De standaardbeloning voor een beveiligingslek is 500 dollar, maar voor ernstige problemen kunnen onderzoekers 3.133,70 dollar ontvangen. De zoekgigant merkt op dat sommige onderzoekers niet in geld geïnteresseerd zijn en liever de beloning aan een goed doel doneren. In dat geval verdubbelt Google de beloning.