Bug-Bounty-Programm

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) ist eine von wahlweise Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- und/oder Geldpreisen für die Entdecker.

Beispiele für Bug-Bounty-Programme[Bearbeiten | Quelltext bearbeiten]

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

Facebook[Bearbeiten | Quelltext bearbeiten]

Facebook betreibt seit 2011 ein eigenes fortlaufendes Bug-Bounty-Programm, das „Facebook Bug Bounty“. Nach eigenen Angaben zahlte Facebook seit 2011 über 3 Millionen US-Dollar an Kopfgeldern aus. Davon wurden 1,3 Millionen US-Dollar alleine 2014 an 321 Forscher ausgezahlt.[1]

Microsoft[Bearbeiten | Quelltext bearbeiten]

Microsoft organisiert seine Bug-Bounty-Programme anhand unterschiedlicher Kategorien. So erfolgt beispielsweise eine Trennung zwischen Bug Bountys für Internetdienste („Online Services Bug Bounty“) und solchen für Microsofts Computer-Betriebssysteme („Mitigation Bypass Bounty“). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des „Online Services Bug Bounty“ mit Kopfgeldern in Höhe von mindestens 500 US-Dollar und bis zu 15.000 US-Dollar dotiert.[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des „Mitigation Bypass Bounty und Bounty for Defense Terms“ mit bis zu 100.000 US-Dollar dotiert.[3] Das neue Hyper-V Bounty Programm, das Microsoft am 31. Mai 2017 gestartet hat, verspricht bis zu 250.000 Dollar für erfolgreiche Angriffsszenarien.[4]

Zerodium[Bearbeiten | Quelltext bearbeiten]

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium hatte September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS ausgeschrieben.[5] Am 2. November gab das Unternehmen bekannt, einen Gewinner gefunden zu haben.[6]

Bitcoin Deutschland AG[Bearbeiten | Quelltext bearbeiten]

Der in Deutschland ansässige Bitcoin-Marktplatz Bitcoin.de bietet auf seiner Internetseite eine Kontaktmöglichkeit zur Meldung von Schwachstellen, die den Marktplatz betreffen. Die Höhe der Belohnung wird nicht beziffert, hängt aber „von der Größe und Relevanz der Sicherheitslücke ab“.[7]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Collin Greene: 2014 Highlights: Bounties get better than ever. 25. Februar 2015, abgerufen am 27. Oktober 2015.
  2. Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
  3. Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
  4. Microsoft Hyper-V Bounty Program Terms. technet.microsoft.com. Abgerufen am 27. Juli 2017.
  5. Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
  6. Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
  7. Bug Bounty | Bitcoin.de. Abgerufen am 25. Dezember 2016.