Abo
  • Services:
Anzeige
Prämien für Sicherheitslücken
Prämien für Sicherheitslücken (Bild: Hackerone)

Hackerone Bug-Prämien fürs Internet

Eine Gruppe von Sicherheitsexperten von Microsoft, Facebook und Google startet unter dem Namen Hackerone ein Bug-Bounty-Programm für das gesamte Internet, bietet also Prämien für das Melden von Sicherheitslücken in Software an. Das Geld kommt von Microsoft und Facebook.

Anzeige

Immer mehr Unternehmen loben Prämien für Sicherheitslücken in ihrer Software aus. Das von Sicherheitsexperten gegründete Projekt Hackerone will diese Idee nun für das gesamte Internet umsetzen und bietet dafür eine Plattform an, die Sicherheitsforscher und Entwickler zusammenbringen soll. An die Entdecker der Sicherheitslücken werden Prämien ausgeschüttet.

Zum Start des Projekts "Internet Bug Bounty" sind zehn Open-Source-Projekte dabei: OpenSSL, Python, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx und der Apache Web Server.

Weitere Projekte können sich bei Hackerone registrieren. Sie müssen dabei die Sicherheitsverantwortlichen in ihren Teams benennen und sich an einige Spielregeln halten, was umgekehrt auch für Sicherheitsforscher gilt. So haben die Sicherheitsteams sieben Tage Zeit, um eine gemeldete Sicherheitslücke zu bestätigen und anschließend 30 Tage Zeit, um diese zu beseitigen, bevor sie veröffentlicht wird. In Ausnahmefällen kann bei sehr komplexen Sicherheitslücken die Veröffentlichung bis zu 180 Tage hinausgezögert werden. Allerdings regen die Macher von Hackerone Forscher und Sicherheitsverantwortliche an, direkt miteinander abzusprechen, was wann wie kommuniziert wird. Die Projekte sollen zudem die Sicherheitsforscher öffentlich nennen, wenn diese das wünschen.

Werden Sicherheitslücken in Projekten gemeldet, zu denen Hackerone noch keine direkte Beziehung aufgebaut hat, will sich das Team darum bemühen, die richtigen Ansprechpartner zu identifizieren. Einreichungen über Dritte werden nicht akzeptiert, allerdings hat Hackerone nichts dagegen, dass Sicherheitslücken direkt an die entsprechenden Response-Teams der Projekte gemeldet werden.

Wer wie viel Geld erhält, entscheidet ein Panel von unabhängigen Sicherheitsexperten, in dem derzeit Alex Rice (Facebook), Chris Evans (Google Chrome), Katie Moussouris (Microsoft), Zane Lackey (Etsy), Jesse Burns (iSEC Partners), Collin Greene (Facebook), Matt Miller (Microsoft), Roman Porter (Microsoft), Neal Poole (Facebook) und Arthur Wongtschowski (Microsoft) sitzen. Die Mindestprämien liegen, je nach Projekt, zwischen 300 und 2.500 US-Dollar.

Eine Sonderprämie von mindestens 5.000 US-Dollar gibt es für Sicherheitslücken, mit denen es möglich ist, aus den Sandbox-Implementierungen von Chrome, dem Internet Explorer, dem Adobe Reader, Adobe Flash, Windows, Linux und Mac OS X auszubrechen.

Gleiches gilt für Sicherheitslücken, die große Teile des Internets betreffen, also sich nicht auf einen Hersteller beschränken, eine große Zahl an Nutzern betreffen, extrem negative Konsequenzen für die Allgemeinheit haben und neu sind. Als Beispiele werden Angriffe auf SSL, DNS oder MD5-Kollisionen genannt.

Finanziert werden die Prämien von Facebook und Microsoft, wobei das Geld zu 100 Prozent an die Sicherheitsforscher geht. Weder Hackerone noch die im Panel vertretenen Sicherheitsexperten erhalten einen Anteil. Weitere Sponsoren sind willkommen.


eye home zur Startseite
Hu5eL 08. Nov 2013

geht mir genauso.

vol1 07. Nov 2013

Kwt.

boiii 07. Nov 2013

.



Anzeige

Stellenmarkt
  1. Hornetsecurity GmbH, Hannover
  2. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  3. Robert Bosch GmbH, Leonberg
  4. Landeshauptstadt München, München


Anzeige
Hardware-Angebote
  1. und bis zu 60€ Steam-Guthaben erhalten
  2. ab 649,90€

Folgen Sie uns
       


  1. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  2. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  3. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  4. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf

  5. Microsoft

    Mixer soll schneller streamen als Youtube Gaming und Twitch

  6. Linux

    Kritische Sicherheitslücke in Samba gefunden

  7. Auftragsfertiger

    Samsung erweitert Roadmap bis 4 nm plus EUV

  8. Fake News

    Ägypten blockiert 21 Internetmedien

  9. Bungie

    Destiny 2 mischt Peer-to-Peer und dedizierte Server

  10. Rocketlabs

    Neuseeländische Rakete erreicht den Weltraum



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

  1. Das freut mich!

    Dudeldumm | 13:23

  2. Funktioniert nur bis 120 km/h

    mhstar | 13:21

  3. Re: Monetarisierung

    Vollstrecker | 13:19

  4. Zum Glück nur relevante Inhalte

    Mingfu | 13:18

  5. Deutschland

    AciidAciid | 13:18


  1. 13:17

  2. 13:05

  3. 12:30

  4. 12:01

  5. 12:00

  6. 11:58

  7. 11:50

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel