Categories: Sicherheit

Facebook zahlte 2015 weniger Prämien für Sicherheitslücken

Facebook hat 2015 rund 300.000 Dollar weniger an Entdecker von Sicherheitslücken ausgeschüttet als 2014. Die Zahl der Fehlerberichte insgesamt wie auch der als berechtigt anerkannten ist ihm zufolge ebenfalls zurückgegangen.

Das Prämienprogramm hatte Facebook vor fünf Jahren ins Leben gerufen. 2015 schüttete es 936.000 Dollar an 210 Sicherheitsforscher aus, die 526 berechtigte Fehlermeldungen einreichten. 2014 waren es noch 1,3 Millionen Dollar für 321 Forscher gewesen – 2013 sogar 1,5 Millionen Dollar.

Insgesamt gingen 13.233 Meldungen von 5543 Sicherheitsforschern ein, nur ein geringer Teil wird also überhaupt durch Facebook bestätigt. 2014 erhielt es 17.011 Meldungen, 2013 aber auch schon 14.763 Meldungen.

Ungefähr konstant geblieben ist die Höhe der durchschnittlichen Prämie, die 2015 1780 Dollar betrug, 2014 aber 1788 Dollar. Nach Ländern ging die höchste Summe nach Indien, gefolgt von Ägypten sowie Trinidad und Tobago, die sich erstmals vor Großbritannien und den USA platzieren konnten.

Sicherheitstechniker Reginaldo Silva zufolge ist es keineswegs so, dass die rückläufigen Zahlen mit zunehmendem Desinteresse an Facebook zu tun haben. Vielmehr werde man besser darin, übliche Fehler von Webanwendungen zu verhindern, etwa Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Sicherheitsforscher müssten sich daher komplexeren Problemen zuwenden, etwa im Rahmen der „Geschäftslogik“. Facebook könne oft „ganze Klassen von Anfälligkeiten auf einmal beseitigen“, wenn es die gesamte Codebasis auf von ihnen erkannte Fehler abklopfe.

Die Zahl der Meldungen folgenschwerer Lücken sei daher gestiegen, mit 108 Berichten um 38 Prozent gegenüber 2014. Den höchsten Schweregrad erhielten 61 Lücken – und damit 49 Prozent mehr als im Vorjahr. Seit 2011 hat Facebook nun insgesamt 4,3 Millionen Dollar an 800 Forscher gezahlt.

Zum Vergleich: Google hat in seinem 2010 ins Leben gerufenen Prämienprogramm bisher 6 Millionen Dollar ausgeschüttet. Die Jahressummen steigen vorerst weiter an. Allerdings hatte Google es im vergangenen Jahr auch auf Android-Lücken erweitert, sofern sie auf Nexus-Geräten reproduzierbar sind. Von 2 Millionen Dollar im Jahr 2015 machte Android bereits 200.000 Dollar aus. 2014 hatte Google 1,5 Millionen Dollar gezahlt.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

14 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

18 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

19 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

19 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

21 Stunden ago