Google beloont melding van Chrome-lekken

AMSTERDAM - Google biedt een beloning voor het melden van ernstige beveiligingslekken in zijn Chrome-browser. Ontdekkers ontvangen maximaal 1337 dollar.

Google noemt dit een 'experimenteel' bonusprogramma voor externe onderzoekers, schrijft The Register. Het gaat om beloningen tot maximaal 1337 dollar.

Dat bedrag (964 euro) wordt uitgeloofd voor ernstige beveiligingsfouten in Chrome of in de code van het gerelateerde open source-project Chromium.

Klacht

Google komt met het beloningsprogramma tegemoet aan een veelgehoorde klacht in de securitywereld.

Die luidt dat de beveiliging van te veel applicaties steunt op mensen die voor hun tijdrovende werk geen cent compensatie ontvangen. Dat betreft dus de ontdekkers van lekken, waarvoor in criminele kringen juist wel veel geld wordt betaald.

"Dit is een stap in de goede richting", aldus onderzoeker Dino Dai Zovi tegenover The Register. Hij startte vorig jaar een campagne voor compensaties voor bugvondsten onder de slogan 'No more free bugs'. "Veel bedrijven behandelen kwetsbaarheden ten onrechte als toevallige ontdekkingen."

Dai Zovi ontdekte eerder ernstige bugs in onder meer Sun Microsystems' Unix-besturingssysteem Solaris en Apple's Mac OS X. Geen van die bedrijven heeft hem hiervoor beloond.

Open source

Tot nu toe biedt slechts een handjevol softwaremakers dergelijke bugbeloningen. Het gaat meestal om open source-projecten, zoals Mozilla's Firefox en Daniel J. Bernstein's djbdns.

Het Google-programma biedt een basisbonus van 500 dollar en het maximale dollarbedrag bedraagt 1337, hackertaal voor 'elite'.