image

Google betaalde onderzoekers 3,4 miljoen dollar voor bugmeldingen

zondag 10 februari 2019, 09:22 door Redactie, 8 reacties

Google heeft beveiligingsonderzoekers vorig jaar in totaal 3,4 miljoen dollar betaald voor het melden van bugs in Android, Chrome en andere producten, zo heeft de internetgigant in een blogposting bekendgemaakt. Sinds Google in 2010 begon met het belonen van onderzoekers voor het melden van kwetsbaarheden en beveiligingsproblemen in de eigen producten is er meer dan 15 miljoen dollar aan beloningen uitgekeerd.

Van de 3,4 miljoen dollar die vorig jaar werd uitgekeerd ging 1,7 miljoen dollar naar onderzoekers die beveiligingslekken in Android en Chrome hadden gevonden en gerapporteerd. In totaal beloonde Google 1319 bugmeldingen, afkomstig van 317 onderzoekers. Dat komt neer op een gemiddeld bedrag van bijna 2600 dollar per bugmelding. De hoogste beloning bedroeg 41.000 dollar.

Reacties (8)
10-02-2019, 10:49 door Anoniem
Google wil koste wat kost voorkomen dat derden lekken melden over hun producten, daarom hebben ze een bounty programma en om in aanmerking te komen voor de harde euro's moet je dus tekenen dat je niks naar buiten brengt.

Google daarentegen doet het tegenovergestelde, die jagen actief op lekken in producten van anderen en hangen dat aan de grote klok.

Fijne toko dat Google.
11-02-2019, 07:02 door Anoniem
Door Anoniem: Google wil koste wat kost voorkomen dat derden lekken melden over hun producten, daarom hebben ze een bounty programma en om in aanmerking te komen voor de harde euro's moet je dus tekenen dat je niks naar buiten brengt.

Google daarentegen doet het tegenovergestelde, die jagen actief op lekken in producten van anderen en hangen dat aan de grote klok.

Fijne toko dat Google.

Wat een complete onzin.

Elk gerespecteerd bedrijf heeft zo'n programma. En beveiligingszaken worden alleen na een bepaalde periode naar buiten gebracht. Als een bedrijf voor die tijd dus niets heeft gedaan dan ligt dat niet echt aan de melder.
11-02-2019, 09:09 door -karma4 - Bijgewerkt: 11-02-2019, 09:10
Door Anoniem: Google wil koste wat kost voorkomen dat derden lekken melden over hun producten, daarom hebben ze een bounty programma en om in aanmerking te komen voor de harde euro's moet je dus tekenen dat je niks naar buiten brengt.

Tuurlijk neemt Google haar eigen verantwoordelijkheid serieus! Tuurlijk mag je niets naar buiten brengen voordat alle fixes overal zijn uitgerold! Duh...

Door Anoniem: Google daarentegen doet het tegenovergestelde, die jagen actief op lekken in producten van anderen en hangen dat aan de grote klok.

Anderen krijgen een redelijke periode de kans om de gevonden problemen te verhelpen. Als ze dat niet kunnen of willen dan gaat het aan de grote klok. Logisch. Het luie of onwillige tuig moet worden aangepakt!

Door Anoniem: Fijne toko dat Google.

Goed bezig Google! Google doet het meest aan security!
11-02-2019, 09:58 door Anoniem
Door The FOSS:Anderen krijgen een redelijke periode de kans om de gevonden problemen te verhelpen. Als ze dat niet kunnen of willen dan gaat het aan de grote klok. Logisch. Het luie of onwillige tuig moet worden aangepakt!

Fijn dat jij iedereen over een kam scheert. Behalve lui of onwillig kunnen er nog andere factoren zijn, waardoor het niet binnen 90 dagen gaat lukken. Zoals daar zijn, complexe aanpassingen, veel verschillende situaties moeten testen, afhankelijk zijn van derden.

En om Google nu meteen te prijzen? Als ze zo begaan zijn met veiligheid, waarom verplichten ze de verkopers van Android telefoons dan niet al heel lang, om te zorgen dat veiligheidsupdates binnen 3 maanden nadat Google ze heeft uitgebracht, ook op de telefoons te hebben? Nieuwere versies van Android zouden ook mooi zijn, maar daar kan ik nog inkomen in verband met marketing doelen, maar veiligheid zou bovenaan moeten staan.
11-02-2019, 10:22 door Anoniem
Door Anoniem: Google wil koste wat kost voorkomen dat derden lekken melden over hun producten, daarom hebben ze een bounty programma en om in aanmerking te komen voor de harde euro's moet je dus tekenen dat je niks naar buiten brengt.

Google daarentegen doet het tegenovergestelde, die jagen actief op lekken in producten van anderen en hangen dat aan de grote klok.

Fijne toko dat Google.


jij kan ook gewoon een bug bij Google melden en deze nadat het gepatcht is openbaar maken echter hoef je hier dan ook geen leuk bedrag voor te verwachten.
11-02-2019, 12:05 door Anoniem
Door The FOSS:Google doet het meest aan security!

Denk dat dat nog altijd Apple is...
11-02-2019, 15:26 door Anoniem
Door Anoniem: Google wil koste wat kost voorkomen dat derden lekken melden over hun producten, daarom hebben ze een bounty programma en om in aanmerking te komen voor de harde euro's moet je dus tekenen dat je niks naar buiten brengt.

Google daarentegen doet het tegenovergestelde, die jagen actief op lekken in producten van anderen en hangen dat aan de grote klok.

Fijne toko dat Google.

Dus ze
- betalen miljoenen om zelf bugvrij te zijn
- vinden gratis bugs in andere software en geven een ruimhartige MAAND om het op te lossen

Inderdaad een fijne toko! :D
12-02-2019, 14:37 door Anoniem
Let me try to understand this.....

Ze hebben bij dit bedrijf zelf TEAMS van werknemers in dienst die lekken in producten die helemaal niet van hun zijn ACTIEF zoeken.
Why?

Voorbeeld als andere industrie taken dezelfde praktijken zouden gebruiken:
Stel dat Volkswagen mensen in dienst neemt die fouten in Opel's zoekt en dan als de terugroep actie van Opel niet snel genoeg is een smear campagne start die Opel's rijders in een gevaarlijke situatie brengt!
Normaalste zaak van de wereld toch?
Of is dat in andere industrie taken niet normal?

Stel daarbij dan ook nog dit bedrijf zo'n een hoeveelheid winst maakt waarmee genoeg landen van armoede, gezondsheids en milieu, scholing en andere problemen gered zouden kunnen worden.

Datzelfde bedrijf laat dan onder het mom van beloning het publiek (dus niet hun eigen teams) zoeken naar bugs in zijn eigen producten.
En stel dat je er een vindt dan verwacht dit bedrijf WEL dat je een NON-DISCLOSURE tekent en dan kun je een beloning krijgen die samen met andere bugzoekers in totaal nog niet een paar % van de DAGELIJKSE winst van dit bedrijf is!

En dit bedrijf heeft met een van hun "producten" het deels gejatte OS dan door de markt gedrukt zonder een update mechanisme voor de eindgebruiker!
Hoezo vinden ze security belangrijk?
In ieder geval niet voor gebruikers van hun EIGEN producten!

Zodat, TADA de eindgebruiker vrijwel altijd een security bugs bevattende telefoon heeft waarmee ditzelfde bedrijf ALLES wat ze maar kunnen verzinnen over hun "gebruikers" op slaat.

Wat dat betreft qua laksheid in beleid op eigen producten en totaal gebrek aan normen en waarden qua privacy voor gebruikers van hun "producten" zijn andere tech-giganten ECHT lieverdje's.

Rare wereld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.