Google heeft zijn bug bounty programma uitgebreid, om meer aanvalstechnieken te belonen. Kwaadwillenden kunnen hiermee mogelijk de misbruik-, fraude- en spamsystemen van het bedrijf omzeilen. Met deze uitbreiding speelt Google in op bepaalde situaties die de afgelopen jaren voorkwamen, toen er bug-rapportages kwamen die strikt genomen niet een security-kwetsbaarheid zijn.

Voortaan worden onderzoekers die helpen met het vinden potentiële misbruikmethodes beloond. Android software engineer Eric Brown geeft als voorbeelden het op grote schaal omzeilen van accountherstelsystemen, het identificeren van services die kwetsbaar zijn voor ‘brute force attacks’, het omzeilen van restricties voor contentgebruik of -delen en het kopen van items van Google zonder te betalen. Geldige rapporten leiden doorgaans tot veranderingen in de code van producten.

Diensten

Google benadrukt dat het programma niet individuele gevallen van misbruik dekt. Denk daarbij aan het plaatsen van content in strijd met de richtlijnen, het sturen van spam of het leveren van links naar malware. Deze gevallen dienen gerapporteerd te worden via de bestaande, product-specifieke kanalen zoals YouTube en Gmail.

Uiteindelijk kunnen verschillende probleem binnen Google-diensten leiden tot een beloning wegens het bug bounty programma. Daaronder vallen onder andere de domeinen google.com, blogger.com en youtube.com, smart home-apparaten van de ontwikkelaar, het Google Cloud Platform en browser-extensies.

Beloning

Het vinden van kwetsbaarheden kan tot grote beloningen leiden. Zo ontving een 18-jarige student eerder dit jaar meer dan 36.000 dollar (31.600 euro), voor het vinden van een remote code execution (RCE)-bug in de Google App Engine. Vorig jaar keerde Google in totaal 2,9 miljoen dollar uit aan onderzoekers die bugs meldden. Het jaar daarvoor werd er nog 3 miljoen dollar betaald.