Bug bounties kostten Google 6 miljoen

Google startte het bug bounty programma in 2010. Het doel is externe testers te motiveren en wanneer zij fouten in de software vinden deze te melden bij Google, in plaats van ze te exploiteren voor hun eigen gewin. Het programma blijkt succesvol. Zodanig zelfs dat Google vorig jaar het programma uitbreidde naar apps voor Android en iOS. Ook is er inmiddels een programma waarin Google het onderzoek voorfinanciert.

Bug in de bugmelding

De meest productieve bug hunter is volgens Google Tomasz Bojarski. Hij voert de lijst aan met alleen al in 2015 70 bugs in Googleproducten. Hij vond zelfs een bug in het formulier waarmee bug hunters hun melding moeten doorgeven aan Google.

Een andere opmerkelijke bug in Googles systemen zat in Google Domains, waarmee Google zelf als registrar optreedt voor het vastleggen van domeinnamen. Een voormalig werknemer van Google, die nu aan de slag is bij Amazon, was vorig jaar wat aan het proberen in het systeem en tikte uit ballorigheid google.com in. Tot zijn verbazing toonde het systeem het domein als 'beschikbaar' en hij kon het kopen voor 12 dollar. De fout werd echter snel teruggedraaid en hij kreeg zijn 12 dollar terug plus uiteindelijk 6006,13 dollar, een nummerieke vertaling van het woord Google. Toen het Google duidelijk werd dat deze Sanmay Ved het bedrag overmaakte aan een goed doel heeft Google het bedrag verdubbeld.

Google is zeker niet het enige bedrijf dat beloningen uitkeert aan de ontdekkers van bugs. Alle grote techbedrijven hebben inmiddels in enige vorm zo'n bugbounty-programma.