Facebook, Google und Microsoft haben über die Organisation HackerOne gemeinsam ein Sicherheitsbelohnungsprogramm namens Internet Bug Bounty gestartet. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
In Frage kommen etwa OpenSSL, PHP, Perl und Apache httpd, aber auch Rails, nginx, Python, Ruby, django und phabricator. Für eine gemeldete Lücke im Apache-Webserver gibt es aber beispielsweise nur 500 Dollar Mindestprämie. Um sich mindestens 5000 Dollar zu verdienen, muss man schon eine internetweite Schwachstelle entdecken. Einer Informationsseite zufolge beträgt die Minimalbelohnung außerdem 100 Dollar für „interessante“ und 1000 Dollar für „schwere“ Sicherheitslücken. Über die Höhe entscheidet eine Jury aus Mitarbeitern von Facebook, Google und Microsoft.
„Wenn die Öffentlichkeit aufgrund deines Beitrags zur Internet-Security nachweislich sicherer ist, würden wir das gern als erste anerkennen und ‚danke‘ sagen, indem wir dir oder einer von dir benannten gemeinnützigen Organisation etwas Bargeld überweisen“, heißt es auf der Website des Programms.
Alle am Programm teilnehmenden Firmen haben eigene Belohnungsprogramme für Sicherheitslücken – die sich größtenteils aber auf eigene Produkte beschränken. Nur Google zahlt auch Prämien, wenn jemand eine Schwachstelle in Internetstandards findet und einen Patch dazu vorschlägt. Eine Kooperation der drei Konzerne im Sicherheitsbereich gab es dagegen bisher noch nicht.
Die Idee für die Kooperation sei von Facebooks Chef für Produktsicherheit Alex Rice gekommen, schreibt Reuters. Er habe dies bei einem informellen Treffen Katie Moussouris vorgeschlagen, die für Microsofts Belohnungsprogramm zuständig ist, und auch Chris Evans aus dem Sicherheitsteam des Chrome-Browsers.
[mit Material von Lance Whitney, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
Betroffen sind alle unterstützten Windows-Versionen. Der März-Patchday beseitigt sieben Zero-Day-Lücken und sechs als kritisch eingestufte…
Der neue Patch ergänzt eine Fehlerkorrektur aus Januar. Er soll einen Sandbox-Escape in Safari unter…
Die Gruppe greift neuerdings auch Ziele in Europa an. Ziel der Angriffe sind Betriebsdaten, Forschungsprojekte…
Mindestens zwei Anfälligkeiten lassen sich aus der Ferne ausnutzen. Betroffen sind Chrome für Windows, macOS…
Sind Sie es leid, dass langsame, komplizierte PDF-Editoren Ihre Zeit verschwenden? Damit sind Sie nicht…
