Inet-Blog.de

Seit Ende Juli setzt Facebook für das Beseitigen von Sicherheitslücken
auf eine neue Strategie: Man bezahlt Hacker dafür, dass sie im Facebook-
Quellcode gefundene Sicherheitslücken an Facebook melden.
Mindestens 500 US-Dollar gibt es für eine gemeldete Sicherheitslücke,
bei besonders sicherheitskritischen Fällen auch mehr.

Es geht dabei besonders darum, so genanntes Cross Site Scripting zu
verhindern, bei dem ein Angreifer unvorsichtig geschriebene Stellen
im Quellcode einer Webseite ausnutzen, um eigenen Programmcode
einzuschleusen. Auf diese Weise können unbeteiligte Facebook-User
beispielsweise ausspioniert, mit Schadsoftware infiziert oder auf
fremde Webseiten weitergeleitet werden.

Neben der finanziellen Belohnung habe man laut Aussage eines Facebook-
Mitarbeiters auch schon Personen, die Sicherheitslücken bei Facebook
fanden, zu Jobs beim Facebook-Kenzern verholfen.

Die Investition von 500 US-Dollar pro aufgedeckter Sicherheitslücke
dürfte sich für Facebook auf jeden Fall lohnen, denn alternativ
könnten Hacker die von ihnen gefundenen Sicherheitslücken auch
anderweitig verkaufen - möglicherweise an Personen, die diese in
böser Absicht ausnutzen wollen. 

Auch Google betreibt ein ähnliches Programm und bezahlt User für
das Auffinden und Einsenden von Sicherheitslücken im Google-Browser
Chrome und in Googles Webanwendungen zwischen 500 und 3000 US-Dollar.
Bislang habe man laut einem Konzernsprecher bereits über
300.000 US-Dollar ausbezahlt und viele Fehler und Sicherheitslücken
beheben können.

Quelle: http://www.computerworld.com/s/article/
 9218747/Facebook_to_pay_hackers_for_bugs