Facebook zahlt für Sicherheitslücken

Wer eine Sicherheitslücke bei Facebook findet, darf nun auf eine Belohnung hoffen. 500 US-Dollar winken für das Aufspüren typischer Angriffsflächen etwa für Cross-Site Scripting, Cross-Site Request Forgery oder Remote Code Injection. Für komplexere Sicherheitslücken verspricht Facebook höhere Belohnungen, nennt aber keine konkreten Zahlen. Ausgeschlossen sind übrigens Fehler an der Facebook-internen Infrastruktur ("corporate infrastructure") sowie an Websites Dritter oder in Software von Drittanbietern – das betrifft insbesondere Facebook-Apps. Auch für Denial-of-Service- oder Spam-Szenarien sowie alles, was in den Bereich "social engineering" fällt, zahlt Facebook nicht.

Die Facebook-Betreiber stellen zudem eine Reihe von Bedingungen auf: Die Prämie geht nur an den ersten, der eine Sicherheitslücke diskret meldet – der dafür empfohlene Weg führt über das hauseigene Webformular für "Whitehat"-Hacker. Zudem verlangt das Unternehmen eine "angemessene Zeitspanne", um die Sicherheitslücke stopfen zu können, bevor sie öffentlich wird. Auch darf ein "Whitehat" bei seiner Suche keinen Schaden an Daten anrichten oder Dienste behindern. Im Gegenzug sichert Facebook zu, keine Gerichtsverfahren gegen Personen anzustreben, die sich an diese "Responsible Disclosure Policy" halten. Zu guter Letzt zahlt Facebook nicht in Länder, die mit US-Sanktionen belegt sind.

Ganz neu ist die Idee, Meldungen über Sicherheitslücken zu belohnen, allerdings nicht. So hat Mozilla bereits Ende 2010 Beträge von 500 bis 3000 US-Dollar für Hinweise auf Bugs in Webdiensten ausgesetzt. Ein paar Wochen zuvor hatte Google sein Security Bug Bounty Program ins Leben gerufen und musste kurz darauf das Regelwerk präzisieren. Schon seit vielen Jahren belohnt unterdessen der Stanford-Professor Donald Knuth Hinweise auf Fehler in seinen Büchern und dem Satzsystem TeX mit seinen mittlerweile als Trophäen begehrten "Reward Checks". (bbe)