Suchen

Externe Hacker sollen interne Schwachstellen aufdecken Facebook erweitert „Security Bug Bounty“-Programm

| Redakteur: Stephan Augsten

Facebook weitet das „Bug Bounty“-Programm aus. Fortan dürfen Hacker nicht nur auf der Social-Media-Plattform sondern auch im Netzwerk von Facebook nach Sicherheitslücken suchen. Mindestens 500 US-Dollar winken pro Schwachstelle, nach oben hin sind der Belohnung keine Grenzen gesetzt.

Firma zum Thema

Facebook belohnt jetzt auch die Suche nach internen Sicherheitslecks.
Facebook belohnt jetzt auch die Suche nach internen Sicherheitslecks.

Als erstes großes IT-Unternehmen lobt Facebook eine Belohnung für unabhängige Hacker aus, die Sicherheitslücken im internen Netzwerk des Social-Networking-Anbieters melden. Ganz ungefährlich ist dieses Vorgehen nicht, schließlich könnten sich auch bösartige Hacker (Blackhats) um einen Test-Account für Facebooks Bug Bounty bemühen.

Wenn ein bösartiger Angreifer es allerdings wirklich auf die rund 900 Millionen Anwender-Datensätze abgesehen hat, dann wird er dieses Ziel bei Bedarf auch auf anderem Wege verfolgen. Mit der Belohnung setzt Facebook also einen finanziellen Anreiz, eine Schwachstelle nicht öffentlich bekannt zu machen, bevor Facebook das Problem beheben konnte.

Als Mindestsumme lobt Facebook wie gehabt 500 US-Dollar pro Sicherheitsanfälligkeit aus. Für besonders schwere Schwachstellen oder kreative Hacking-Ideen will das Unternehmen auch tiefer in die Tasche greifen: „Wenn ein Bug eine Million Dollar wert ist, so zahlen wir diese Summe auch aus“, bekräftigt Ryan McGeehan, der Leiter des Security Incident Response Teams von Facebook.

Um sich an der Fehlersuche zu beteiligen, muss ein Whitehat allerdings folgende Grundvoraussetzungen erfüllen: Sein Wohnsitz muss in einem Land liegen, das nicht unter US-Sanktionen steht – Nordkorea, Kuba oder ähnliche scheiden also aus. Noch dazu muss der Whitehat der erste sein, der die entsprechende Sicherheitslücke meldet.

Wichtig ist, dass die Schwachstelle die Integrität der Benutzerdaten auf Facebook ernsthaft gefährden kann. Plattform-seitig wären dies beispielsweise Cross-Site Scripting oder Schwächen bei der Authentifizierung. Als Beispiele für Anfälligkeiten im internen Netzwerk nennt Facebook beispielsweise das externe Ausführen von Code auf einem System (Remote Code Execution).

Kein Geld gibt es hingegen für Schwachstellen in Drittanbieter-Inhalten, also Apps und mit Facebook verknüpften Webseiten. Denial-of-Service-Attacken sowie Spam- und Social-Engineering-Angriffe sind ebenfalls außen vor. Der Höchstbetrag, den Facebook bis dato für eine Sicherheitslücke ausgezahlt hat, lag bei 10.000 US-Dollar. Insgesamt belaufen sich die Ausgaben für das Bug-Bounty-Programm bislang auf 400.000 Dollar, so der Pressesprecher Fred Wolens gegenüber Bloomberg.

Mit dem erweiterten „Bug Bounty“-Programm reagiert das soziale Netzwerk auf einen Vorfall im Mai dieses Jahres: Ein außenstehender Sicherheitsforscher hatte Facebook darauf aufmerksam gemacht, dass die interne Kommunikation anfällig für Abhörversuche sei.

(ID:34825810)