Facebook zahlt ethischen Hackern bis zu 40.000 US-Dollar für die Offenlegung einer einzigen Account-Takeover-Schwachstelle

Die Ankündigung erfolgte auf Facebooks eigener Bug-Bounty-Seite. Hier ruft das soziale Netzwerk White Hats dazu auf, die Plattform in jeder erdenklichen Weise anzugreifen, um bisher unbekannte Schwachstellen aufzudecken und damit ihren zwielichtigen Kollegen zuvorzukommen. Facebooks Bug-Bounty-Programm ist bereits 7 Jahre alt, konnte bisher aber die zahlreichen Datenpannen und Angriffe auf das Netzwerk nicht verhindern. Um diesen geschäftsschädigenden Vorfällen entgegenzuwirken, plant das Unternehmen nun, ethischen Hackern attraktivere Anreize zu geben, Lücken in seiner Plattform zu finden. Hier dazu ein ins Deutsche übersetzter Auszug aus der offiziellen Ankündigung (englisch):

Um Sicherheitsforscher zu ermutigen, Probleme mit weitreichenden Konsequenzen offenzulegen, erhöhen wir ab heute die durchschnittliche Belohnung für Account-Takover-Schwachstellen. Wir möchten damit sicherstellen, dass derartige Sicherheitslücken, ähnlich der bereits im September offengelegten, uns so verantwortungsbewusst und zeitnah wie möglich zur Kenntnis gebracht werden.

In diesem Zuge belohnen wir Sicherheitsforscher, die Sicherheitslücken finden, welche eine vollständige übernahme von Benutzerkonten ermöglichen, so zum Beispiel auch durch Diebstahl von Access Tokens oder die Fähigkeit auf gültige Benutzersitzungen zuzugreifen, mit einer durchschnittlichen Prämie in Höhe von:

* 40.000 US-Dollar, wenn keinerlei Benutzerinteraktion erforderlich ist, bzw.

* 25.000 US-Dollar, wenn ein Mindestmaß an Benutzerinteraktion erforderlich ist.

Das Programm erstreckt sich auch auf andere Dienste des Internet-Giganten wie Instagram, WhatsApp und Oculus. Hacker sind dabei nicht verpflichtet, eine vollständige Exploit Chain vorzulegen, wenn der Prozess die Umgehung des hier (englisch) beschriebenen Linkshim-Systems erfordert. Facebook will damit erreichen, dass Hacker ihr Proof-of-Concept präsentieren können, ohne weitere Sicherheitsebenen umgehen zu müssen.

„Indem wir die Prämie für Account-Takeover-Schachstellen erhöhen und den technischen Aufwand reduzieren, der für ein Infragekommen für die Prämie erforderlich ist, möchten wir die Zahl der hochwertigen Einsendungen von bereits aktiven und neuen White-Hat-Forschern weiter erhöhen und so unsere mehr als 2 Milliarden Nutzer schützen“, so Facebook weiter.

rn