Googles Vulnerability Reward Program (VRP) ist ein Belohnungsprogramm für Sicherheitsexperten, die Fehler und Lücken in Google-Produkten aufspüren und dem Hersteller melden. Mit über 6,5 Millionen Dollar haben die Kalifornier nun eine Rekordsumme an Auszahlungen zu melden.

Die höchsten Summen mit 2,1 und 1,9 Millionen Dollar wurden dabei für das Aufspüren von Fehlern in den Google-Diensten sowie in Android gezahlt. Mit immer noch einer Million Dollar honorierte Google Meldungen zum Chrome-Projekt und 800.000 Dollar zahlte der Hersteller für Meldungen zu Google Play, was auch Meldungen zu Drittanbieter-Apps mit mehr als 100 Millionen Installationen umfasst.

Die höchste Einzelsumme belief sich danach auf 201.000 Dollar. Insgesamt verteilten sich die Belohnungen auf 461 Teilnehmer. Diese Zahlen gab der Hersteller in einem aktuellen Blogbeitrag bekannt. Beachtlich ist auch, wofür die Belohnten das Geld einsetzten. So wurden von den erhaltenen Zahlungen immerhin 500.000 Dollar für wohltätige Zwecke gespendet. Das entspricht dem Fünffachen des Vorjahres.

Die stark gestiegenen Beträge weisen aber nicht etwa drauf hin, dass Googles Dienste und Produkte unsicherer als früher wären. Vielmehr liegt die Steigerung im Wesentlichen daran, dass der Hersteller sein Belohnungsprogramm immer stärker ausweitet und die Beträge für Einzelmeldungen stetig erhöht.

So zahlt Google jetzt auch Bug-Bountys für entdeckte Fehler in Dritt-Apps, die im Play-Store mindestens 100 Millionen Installationen vorweisen können. Ein neues Programm zahlt für Hinweise auf Datenmissbrauch in Android-Apps, Oauth-Projekten und Chrome-Erweiterungen. Im Android-Segment lobt Google eine bis zu 1,5 Millionen Dollar hohe Einzelbelohnung für einen Core-Exploit unter Beteiligung des Sicherheits-Chips Titan M aus. Ganz generell hat Google die Belohnungen im gesamten Programm angehoben.