Facebook zahlt Prämien für entdeckte Fehler in seiner Website

Facebook belohnt Sicherheitsforscher ab sofort dafür, wenn sie Sicherheitslücken in seiner Website finden und melden. Die Prämie für eine neue Schwachstelle beträgt mindestens 500 Dollar. Eine Obergrenze nennt das Soziale Netzwerk nicht.

Voraussetzung ist, dass sich die Forscher an Facebooks Regeln für den vertraulichen Umgang mit Anfälligkeiten halten und keine Details zu einer Schwachstelle öffentlich machen, bevor sie behoben wurde. „Normalerweise dauert das nicht länger als einen Tag“, sagte Joe Sullivan, Chief Security Officer bei Facebook, in einem Telefoninterview mit ZDNet.

„Wenn Sie uns eine angemessene Frist einräumen, um auf Ihren Bericht zu reagieren, bevor Sie an die Öffentlichkeit gehen, und bei Ihren Untersuchungen im guten Glauben handeln, um Datenschutzverstöße, die Zerstörung von Daten und eine Unterbrechung oder Einschränkung unseres Diensts zu vermeiden, werden wir keine Klage gegen Sie anstrengen und Strafverfolgungsbehörden auffordern, gegen Sie zu ermitteln“, heißt es auf der Website des Unternehmens.

Das Prämienprogramm sei eine gute Möglichkeit, der Forscher-Community einen Anreiz zu geben und sie für ihre Hilfe zu belohnen, so das Facebook Security Team. Bisher wurden Entdecker von Schwachstellen lediglich auf der Website des Unternehmens erwähnt. Einige wenige bekamen auch eine Anstellung bei dem Sozialen Netzwerk.

„Einige unserer besten Ingenieure haben hier angefangen, nachdem sie auf Sicherheitslücken in unserer Seite hingewiesen haben“, sagte Alex Rice, Chef des Bereichs Product Security bei Facebook. Ein Beispiel dafür sei Ryan McGeehan, Manager des Security Response Team. Darüber hinaus hat das Unternehmen kürzlich George Hotz eingestellt, der sich als Hacker von iPhone und Sonys PlayStation 3 einen Namen gemacht hatte.

Facebook tritt damit in die Fußstapfen von Mozilla und Google, die seit 2004 beziehungsweise 2010 Forscher für neu entdeckte Sicherheitslücken in ihren Browsern bezahlen. Darüber hinaus gibt es Sicherheitsanbieter wie Tipping Point, die Forscher für vertraulich gemeldete Anfälligkeiten bezahlen.

Microsoft gehört zu den Unternehmen, die derartige Prämien strikt ablehnen. Allerdings setzte der Softwarekonzern jüngst ein Kopfgeld von 250.000 auf die Betreiber des Botnets Rustock aus.