Twitter bezahlt Finder von Sicherheitslücken

Vergangene Woche hat Twitter ein Bug Bounty Programm vorgestellt, im Zuge dessen Personen finanziell belohnt werden, die Sicherheitslücken im Online-Dienst oder der App des Social-Media-Giganten finden.Am 3. September wurde das Vorhaben auf Twitters Security Account bekannt gegeben. Für die Meldung von Sicherheitslücken sollen die Fündigen die Plattform HackerOne nutzen. In einem Blog Post auf der entsprechenden HackerOne-Seite von Twitter können sich Interessierte über die Regeln sowie die Anzahl der bisher gefundenen Bugs informieren.

Twitter verspricht eine Belohnung von mindestens 140 Dollar, vorausgesetzt, es handelt sich um eine Schwachstelle, die Auswirkungen auf die Sicherheit der Twitter-Nutzer hat. Als Beispiele werden u.a. Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery, Remotecodeausführung und unautorisierte Zugriffe auf bestimmte Bereiche von Benutzerkonten genannt. Zudem gilt die Belohnung nur für Sicherheitslücken, die auf twitter.com oder in den Apps für iOS bzw. Android gefunden werden. Je nach Schweregrad der gefundenen Schwachstelle kann die Prämie auch höher ausfallen – die Bewertung hierüber obliegt natürlich Twitter selbst.

Twitters Bug Bounty Programm ist nicht neu. Bereits 2011 hat Facebook ein solches Konzept zur Findung von Sicherheitslücken ins Leben gerufen und belohnt die Finder mit mindestens 500 Dollar. Und auch Microsoft holt sich seit letztem Jahr Unterstützung aus der gemeinen Bevölkerung. James Forshaw erhielt im Oktober 2013 im Zuge dessen sogar eine Belohnung in Höhe von 100.000 Dollar.

Natürlich gibt es bei all diesen Programmen Einschränkungen bezüglich des Erhalts der Prämie. So müssen die Finder über die entdeckten Schwachstellen Stillschweigen bewahren, bis sie vom entsprechenden Anbieter behoben wurden. Zudem gilt der „Finderlohn“ nur für denjenigen, der einen Bug zuerst entdeckt, getreu dem Motto: Wer zuerst kommt, malt zuerst.

Und nicht alle Schwachstellen sind den Anbietern eine finanzielle Belohnung wert. So zahlt Facebook nur, wenn der Bug auf einer reinen Facebook-Seite gefunden wurde. Spiele wie FarmVille gehören nicht dazu. Auch Twitter nennt auf seiner HackerOne-Seite Ausnahmen, erklärt aber, dass jeder Finder in der Hall of Fame gelistet wird.

Picture Credits: ©Mark Rain/Flickr

Autor , ESET