Facebook, Google und Microsoft haben über die Organisation HackerOne gemeinsam ein Sicherheitsbelohnungsprogramm namens Internet Bug Bounty gestartet. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
In Frage kommen etwa OpenSSL, PHP, Perl und Apache httpd, aber auch Rails, nginx, Python, Ruby, django und phabricator. Für eine gemeldete Lücke im Apache-Webserver gibt es aber beispielsweise nur 500 Dollar Mindestprämie. Um sich mindestens 5000 Dollar zu verdienen, muss man schon eine internetweite Schwachstelle entdecken. Einer Informationsseite zufolge beträgt die Minimalbelohnung außerdem 100 Dollar für „interessante“ und 1000 Dollar für „schwere“ Sicherheitslücken. Über die Höhe entscheidet eine Jury aus Mitarbeitern von Facebook, Google und Microsoft.
„Wenn die Öffentlichkeit aufgrund deines Beitrags zur Internet-Security nachweislich sicherer ist, würden wir das gern als erste anerkennen und ‚danke‘ sagen, indem wir dir oder einer von dir benannten gemeinnützigen Organisation etwas Bargeld überweisen“, heißt es auf der Website des Programms.
Alle am Programm teilnehmenden Firmen haben eigene Belohnungsprogramme für Sicherheitslücken – die sich größtenteils aber auf eigene Produkte beschränken. Nur Google zahlt auch Prämien, wenn jemand eine Schwachstelle in Internetstandards findet und einen Patch dazu vorschlägt. Eine Kooperation der drei Konzerne im Sicherheitsbereich gab es dagegen bisher noch nicht.
Die Idee für die Kooperation sei von Facebooks Chef für Produktsicherheit Alex Rice gekommen, schreibt Reuters. Er habe dies bei einem informellen Treffen Katie Moussouris vorgeschlagen, die für Microsofts Belohnungsprogramm zuständig ist, und auch Chris Evans aus dem Sicherheitsteam des Chrome-Browsers.
[mit Material von Lance Whitney, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
