Facebook zahlte 2015 weniger Prämien für Sicherheitslücken

Facebook hat 2015 rund 300.000 Dollar weniger an Entdecker von Sicherheitslücken ausgeschüttet als 2014. Die Zahl der Fehlerberichte insgesamt wie auch der als berechtigt anerkannten ist ihm zufolge ebenfalls zurückgegangen.

Das Prämienprogramm hatte Facebook vor fünf Jahren ins Leben gerufen. 2015 schüttete es 936.000 Dollar an 210 Sicherheitsforscher aus, die 526 berechtigte Fehlermeldungen einreichten. 2014 waren es noch 1,3 Millionen Dollar für 321 Forscher gewesen – 2013 sogar 1,5 Millionen Dollar.

Insgesamt gingen 13.233 Meldungen von 5543 Sicherheitsforschern ein, nur ein geringer Teil wird also überhaupt durch Facebook bestätigt. 2014 erhielt es 17.011 Meldungen, 2013 aber auch schon 14.763 Meldungen.

Ungefähr konstant geblieben ist die Höhe der durchschnittlichen Prämie, die 2015 1780 Dollar betrug, 2014 aber 1788 Dollar. Nach Ländern ging die höchste Summe nach Indien, gefolgt von Ägypten sowie Trinidad und Tobago, die sich erstmals vor Großbritannien und den USA platzieren konnten.

Sicherheitstechniker Reginaldo Silva zufolge ist es keineswegs so, dass die rückläufigen Zahlen mit zunehmendem Desinteresse an Facebook zu tun haben. Vielmehr werde man besser darin, übliche Fehler von Webanwendungen zu verhindern, etwa Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Sicherheitsforscher müssten sich daher komplexeren Problemen zuwenden, etwa im Rahmen der „Geschäftslogik“. Facebook könne oft „ganze Klassen von Anfälligkeiten auf einmal beseitigen“, wenn es die gesamte Codebasis auf von ihnen erkannte Fehler abklopfe.

Die Zahl der Meldungen folgenschwerer Lücken sei daher gestiegen, mit 108 Berichten um 38 Prozent gegenüber 2014. Den höchsten Schweregrad erhielten 61 Lücken – und damit 49 Prozent mehr als im Vorjahr. Seit 2011 hat Facebook nun insgesamt 4,3 Millionen Dollar an 800 Forscher gezahlt.

Zum Vergleich: Google hat in seinem 2010 ins Leben gerufenen Prämienprogramm bisher 6 Millionen Dollar ausgeschüttet. Die Jahressummen steigen vorerst weiter an. Allerdings hatte Google es im vergangenen Jahr auch auf Android-Lücken erweitert, sofern sie auf Nexus-Geräten reproduzierbar sind. Von 2 Millionen Dollar im Jahr 2015 machte Android bereits 200.000 Dollar aus. 2014 hatte Google 1,5 Millionen Dollar gezahlt.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.