Facebook hat 2015 rund 300.000 Dollar weniger an Entdecker von Sicherheitslücken ausgeschüttet als 2014. Die Zahl der Fehlerberichte insgesamt wie auch der als berechtigt anerkannten ist ihm zufolge ebenfalls zurückgegangen.
Insgesamt gingen 13.233 Meldungen von 5543 Sicherheitsforschern ein, nur ein geringer Teil wird also überhaupt durch Facebook bestätigt. 2014 erhielt es 17.011 Meldungen, 2013 aber auch schon 14.763 Meldungen.
Ungefähr konstant geblieben ist die Höhe der durchschnittlichen Prämie, die 2015 1780 Dollar betrug, 2014 aber 1788 Dollar. Nach Ländern ging die höchste Summe nach Indien, gefolgt von Ägypten sowie Trinidad und Tobago, die sich erstmals vor Großbritannien und den USA platzieren konnten.
Sicherheitstechniker Reginaldo Silva zufolge ist es keineswegs so, dass die rückläufigen Zahlen mit zunehmendem Desinteresse an Facebook zu tun haben. Vielmehr werde man besser darin, übliche Fehler von Webanwendungen zu verhindern, etwa Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Sicherheitsforscher müssten sich daher komplexeren Problemen zuwenden, etwa im Rahmen der „Geschäftslogik“. Facebook könne oft „ganze Klassen von Anfälligkeiten auf einmal beseitigen“, wenn es die gesamte Codebasis auf von ihnen erkannte Fehler abklopfe.
Die Zahl der Meldungen folgenschwerer Lücken sei daher gestiegen, mit 108 Berichten um 38 Prozent gegenüber 2014. Den höchsten Schweregrad erhielten 61 Lücken – und damit 49 Prozent mehr als im Vorjahr. Seit 2011 hat Facebook nun insgesamt 4,3 Millionen Dollar an 800 Forscher gezahlt.
Zum Vergleich: Google hat in seinem 2010 ins Leben gerufenen Prämienprogramm bisher 6 Millionen Dollar ausgeschüttet. Die Jahressummen steigen vorerst weiter an. Allerdings hatte Google es im vergangenen Jahr auch auf Android-Lücken erweitert, sofern sie auf Nexus-Geräten reproduzierbar sind. Von 2 Millionen Dollar im Jahr 2015 machte Android bereits 200.000 Dollar aus. 2014 hatte Google 1,5 Millionen Dollar gezahlt.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…