Facebook belohnt Sicherheitstests von anderen Herstellern

Facebook winkt mit Belohnungen für das aktive Aufspüren und Melden von sicherheitsrelevanten Problemen -- auch bei Dritt-Herstellern.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Facebook-Logo

(Bild: dpa, Franziska Gabbert/dpa-tmn/dpa)

Lesezeit: 2 Min.

Zukünftig will Facebook Sicherheitsforschern Belohnungen auszahlen, wenn sie im Rahmen eines Penetration-Tests Schwachstellen in Third-Party-Apps und Websites entdecken, die Facebooks Schnittstellen nutzen. Das Facebook-Ökosystem enthält Millionen von Apps wie etwa Spiele, die oft auf sensitive Benutzerdaten zugreifen dürfen. Auch das Belohnungssystem für die eigenen Apps wie Messenger und WhatsApp wird ausgebaut.

Facebook will mit diesem Schritt aktive Sicherheitstests weiter ermutigen. Bereits letztes Jahr weitete Facebook das eigene Bug-Bounty-Programm auf Fehler in Apps von anderen Herstellern aus. Das war jedoch auf die Gefährdung von Facebook-Zugangsdaten beschränkt, die man in der Regel durch passives Beobachten der Apps aufdecken kann.

Jetzt dehnt der Konzern das auf aktive Angriffe aus, wie sie typischerweise im Rahmen von gezielten Sicherheitstests stattfinden. Allerdings muss dieser Test vom Hersteller der App autorisiert sein. Facebook will nach eigenen Aussagen "die Security Community ermutigen, vermehrt auf die App-Entwickler zuzugehen", indem man Belohnungen für Tests von Apps und Websites auslobe, deren Hersteller selbst keine Ressourcen dafür hätten.

Parallel dazu erhöht Facebook die Bonuszahlungen für besonders schwer zu findende Security-Bugs in den eigenen Apps wie den Facebook Messenger und WhatsApp. Die Höhe der ausgezahlten Belohnungen hängt davon ab, wie konkret der Finder tatsächlich demonstrieren kann, dass ein Fehler Auswirkungen auf die Sicherheit hat. Die vollen 15.000 US$ gibt es demnach nur, wenn man tatsächlich Remote Code Execution demonstrieren könne. Für Vorstufen dafür wie das Kontrollieren des Instruction Pointers oder einen Poitber Leak zum Umgehen von ASLR gibt es entsprechend weniger. (ju)