„Nice Catch, aber keine Prämie": Forscher entdeckt kritische GCP-Lücke – Google verweigert Bug-Bounty

Googles widersprüchliche Reaktion

Die Geschichte von Googles Antwort ist eine von schwindelerregenden Widersprüchen.

Phase 1 – „Nice Catch!" O'Leary meldete den Bug am 8. März 2026 an Google . Am 27. März akzeptierte ein Google-Sicherheitsingenieur den Bericht und schrieb ihm: „Nice Catch!" . Der Ingenieur erklärte, er habe einen Bug beim zuständigen Produktteam eingereicht und versicherte O'Leary, man werde mit Google Cloud an der Behebung arbeiten: „Wir werden mit dem Produktteam zusammenarbeiten, um sicherzustellen, dass dieses Problem behoben wird. Wir werden Sie benachrichtigen, sobald das Problem behoben ist" . Google vergab die Priorität P1 (höchste) und den Schweregrad S1 (kritisch – betrifft einen großen Prozentsatz der Benutzer und kann Kernfunktionen der Organisation stören) .

Phase 2 – „Working as intended." Am 7. April – 11 Tage später – erhielt O'Leary eine Nachricht von einem Google-Sicherheitsbot, die die Entscheidung aufhob . Das Gremium des Cloud Vulnerability Reward Program kam zu dem Schluss, die „Sicherheitsauswirkungen dieses Problems erfüllen nicht die Kriterien für eine Belohnung" und die Software „arbeite wie vorgesehen" . Google verweigerte jede Zahlung.

Der Widerspruch: Stand 18. Juni in The Registers Bericht führte Googles internes Bug-Tracking-System ConfigConfusion immer noch als P1/S1 mit Status „in Bearbeitung (akzeptiert)" – im Widerspruch zur öffentlichen Position, dass keine Schwachstelle existiere .

Ungelöster Status

Bis Mitte Juni 2026 – über drei Monate nach der Erstmeldung – bleibt die Schwachstelle ungepatcht und ungelöst . O'Leary hat inzwischen einen Forschungsblogbeitrag mit vollständigen technischen Details auf olearysec.com veröffentlicht .

Googles VRP-Änderungen 2026 – weiterer Kontext

Anfang Mai 2026 überarbeitete Google seine Vulnerability Reward Programs für Chrome und Android und begründete dies explizit mit dem Aufkommen von KI-Werkzeugen bei der Schwachstellensuche .

Wesentliche Änderungen:

• Chrome-Prämien sanken in den meisten Kategorien. Googles Begründung: KI-Werkzeuge können leicht große Mengen minderwertiger Einsendungen produzieren, daher konzentriere man die Belohnungen auf schwerer automatisierbare Bug-Klassen mit höherer Auswirkung .
• Android-Spitzenprämien stiegen – ein Zero-Click-Volllketten-Kompromiss des Titan M2 mit Persistenz zahlt jetzt bis zu 1,5 Millionen US-Dollar .
• Die Zahl der Chrome-CVE-Veröffentlichungen vervierfachte sich im Jahresvergleich (von 52 bis Anfang Mai 2025 auf 252 bis Anfang Mai 2026), was Google als Beleg für den KI-generierten Einsendungsschub anführte .

Kritiker sehen einen schrägen Kontrast: Google kürzt Chrome-Prämien wegen „KI-Rauschens" und verweigert gleichzeitig einem menschlichen Forscher einen sorgfältig gemeldeten, mit CVSS 10.0 bewerteten Cloud-Infrastruktur-Bug mit der Begründung, er sei „wie vorgesehen" – eine Entscheidung, die viele in der Sicherheitsgemeinschaft als kurzsichtig und schädlich für das Vertrauen der Forscher bezeichnen .