A Google cég 2010. november elején - részben a Firefox webböngészőt fejlesztő Mozilla Alapítvány tapasztalatai alapján - újszerű hibavadász programot hirdetett. A világelső keresés-szolgáltató nem kirívó, de jelentős összegű pénzjutalom felajánlásával arra bátorította a hackereket, hogy a „fehérkalapos” utat kövessék, és a netezőket megkárosító kiberbűnözők helyett a szoftvergyártónak adják át az általuk felfedezett, webes támadásra alkalmas biztonsági réseket.
A Google márkaneve nagy előnyt jelentett az új program sajtóvisszhangja szempontjából, a cég dolgozói mégis úgy tippelték, hogy a kezdeményezés első hetében talán tíz, web-alkalmazásokat támadó exploit-kód beérkezésére számíthatnak - figyelembe véve a korábban meghirdetett Chrome webböngésző hibavadászat tapasztalatait és az újonnan felfedezett résekkel előtte is rendszeresen jelentkező, ismert biztonsági kutatók körét.
A valóságban a cégnél már az első héten 43 sebezhetőségről kaptak bejelentést, azóta pedig összesen több mint 1100 különféle súlyos vagy mérsékeltebb jelentőségű szoftver-biztonsági hibáról értesültek a keresőóriás munkatársai. A hibaleírások elbírálása után a Google labor összesen 730 esetben fizetett jutalmat a körülbelül 200 beküldőnek, akiknek a többsége ráadásul a korábbi időszakban még nem adott be exploit-leírást.
Az idáig felfedezett sebezhetőségek közel fele a Google saját törzsgárdája által fejlesztett szoftverekben fordult elő, a többi pedig annak a mintegy 50, kisebb fejlesztő cégnek a termékeit sújtotta, amelyeket az óriás korábban felvásárolt. A Google növekedését szolgáló akvizíciók milliárdokba kerültek, ehhez képest a hibavadászoknak eddig kifizetett 410 ezer dollár pénzjutalom és 19 ezer dollárnyi jótékony adomány igazán nem nagy kiadás.
A Google közleménye szerint hibavadász kezdeményezésük más cégek, például a Barracuda számára is indíttatást jelentett arra, hogy saját, az infobiztonsági kutatók együttműködését jutalmazó programokat hirdessenek. Munkájuk még a Firefox fejlesztőinek véleményét is segített megváltoztatni. Rámutattak arra, hogy nem csak a klienseket sújtó támadókódok fontosak, de a webes alkalmazások, kiszolgálók sebezhetőségei is valós veszélyt jelentenek a felhasználókra és kiküszöbölésük érdekében szükség van a pénzdíjakra.
