En début d'année, Google décidait d'appliquer une recette mise au point par Mozilla et de récompenser les découvreurs tiers de vulnérabilités de sécurité via des sommes allant de 500 à 1 337 dollars. Face au succès de l'opération, le montant maximal des sommes a même été réévalué cet été pour atteindre 3 133,7 $.

Petite surprise, Google a décidé de transposer ce même programme de chasse aux bugs de sécurité aux applications Web. Le programme expérimental s'applique ainsi aux applications Web qui affichent ou gèrent des données utilisateurs d'authentification, et sont donc concernés des domaines comme *.google.com, *.youtube.com, *.blogger.com ou *.orkut.com. Autant d'exemples cités par Google auxquels on peut ajouter Gmail, mais Google exclut pour le moment des clients d'applications à l'instar de Picasa, Google Desktop...

S'agit-il d'un appel à des attaques par déni de service distribué à l'encontre des infrastructures de Google ? Certainement pas, les bugs de sécurité à mettre au jour sont de type XSS, CSRF ( cross-site request forgery ) ou des failles qui permettent à un utilisateur d'accéder aux données d'un autre.

Avec un tel programme, Google manifeste l'intérêt qu'il porte aux découvreurs de failles et tente de les motiver avec comme condition du donnant-donnant. Une récompense en échange d'un travail dont Google aura la primeur, et pourra ainsi agir plus rapidement.