Facebook, Google und Microsoft haben über die Organisation HackerOne gemeinsam ein Sicherheitsbelohnungsprogramm namens Internet Bug Bounty gestartet. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
In Frage kommen etwa OpenSSL, PHP, Perl und Apache httpd, aber auch Rails, nginx, Python, Ruby, django und phabricator. Für eine gemeldete Lücke im Apache-Webserver gibt es aber beispielsweise nur 500 Dollar Mindestprämie. Um sich mindestens 5000 Dollar zu verdienen, muss man schon eine internetweite Schwachstelle entdecken. Einer Informationsseite zufolge beträgt die Minimalbelohnung außerdem 100 Dollar für „interessante“ und 1000 Dollar für „schwere“ Sicherheitslücken. Über die Höhe entscheidet eine Jury aus Mitarbeitern von Facebook, Google und Microsoft.
„Wenn die Öffentlichkeit aufgrund deines Beitrags zur Internet-Security nachweislich sicherer ist, würden wir das gern als erste anerkennen und ‚danke‘ sagen, indem wir dir oder einer von dir benannten gemeinnützigen Organisation etwas Bargeld überweisen“, heißt es auf der Website des Programms.
Alle am Programm teilnehmenden Firmen haben eigene Belohnungsprogramme für Sicherheitslücken – die sich größtenteils aber auf eigene Produkte beschränken. Nur Google zahlt auch Prämien, wenn jemand eine Schwachstelle in Internetstandards findet und einen Patch dazu vorschlägt. Eine Kooperation der drei Konzerne im Sicherheitsbereich gab es dagegen bisher noch nicht.
Die Idee für die Kooperation sei von Facebooks Chef für Produktsicherheit Alex Rice gekommen, schreibt Reuters. Er habe dies bei einem informellen Treffen Katie Moussouris vorgeschlagen, die für Microsofts Belohnungsprogramm zuständig ist, und auch Chris Evans aus dem Sicherheitsteam des Chrome-Browsers.
[mit Material von Lance Whitney, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…