Facebook hat 2015 rund 300.000 Dollar weniger an Entdecker von Sicherheitslücken ausgeschüttet als 2014. Die Zahl der Fehlerberichte insgesamt wie auch der als berechtigt anerkannten ist ihm zufolge ebenfalls zurückgegangen.
Insgesamt gingen 13.233 Meldungen von 5543 Sicherheitsforschern ein, nur ein geringer Teil wird also überhaupt durch Facebook bestätigt. 2014 erhielt es 17.011 Meldungen, 2013 aber auch schon 14.763 Meldungen.
Ungefähr konstant geblieben ist die Höhe der durchschnittlichen Prämie, die 2015 1780 Dollar betrug, 2014 aber 1788 Dollar. Nach Ländern ging die höchste Summe nach Indien, gefolgt von Ägypten sowie Trinidad und Tobago, die sich erstmals vor Großbritannien und den USA platzieren konnten.
Sicherheitstechniker Reginaldo Silva zufolge ist es keineswegs so, dass die rückläufigen Zahlen mit zunehmendem Desinteresse an Facebook zu tun haben. Vielmehr werde man besser darin, übliche Fehler von Webanwendungen zu verhindern, etwa Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Sicherheitsforscher müssten sich daher komplexeren Problemen zuwenden, etwa im Rahmen der „Geschäftslogik“. Facebook könne oft „ganze Klassen von Anfälligkeiten auf einmal beseitigen“, wenn es die gesamte Codebasis auf von ihnen erkannte Fehler abklopfe.
Die Zahl der Meldungen folgenschwerer Lücken sei daher gestiegen, mit 108 Berichten um 38 Prozent gegenüber 2014. Den höchsten Schweregrad erhielten 61 Lücken – und damit 49 Prozent mehr als im Vorjahr. Seit 2011 hat Facebook nun insgesamt 4,3 Millionen Dollar an 800 Forscher gezahlt.
Zum Vergleich: Google hat in seinem 2010 ins Leben gerufenen Prämienprogramm bisher 6 Millionen Dollar ausgeschüttet. Die Jahressummen steigen vorerst weiter an. Allerdings hatte Google es im vergangenen Jahr auch auf Android-Lücken erweitert, sofern sie auf Nexus-Geräten reproduzierbar sind. Von 2 Millionen Dollar im Jahr 2015 machte Android bereits 200.000 Dollar aus. 2014 hatte Google 1,5 Millionen Dollar gezahlt.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
