Open Source im professionellen Einsatz

Mozilla erhöht Belohnungen für Sicherheitsbugs

10.06.2015

Mozillas Sicherheits-Team zahlt bereits seit einiger Zeit Geld, wenn Nutzer Security-Bugs melden. Nun hat das interne Bug-Bounty-Komitee die Beträge erhöht.

187

Für als hoch oder kritisch eingestufte Sicherheitslücken will Mozilla künftig zwischen 3000 und 7500 US-Dollar zahlen, die konkrete Summe legt das Komitee fest. Im Höchstfall überweist Mozilla sogar 10 000 US-Dollar. Dabei muss es sich um eine neue Form von Exploit handeln oder eine außergewöhnliche Sicherheitslücke.

Auch für einige als moderat eingestufte Sicherheitslücken lässt das Projekt unter Umständen Geld springen. Wer sie entdeckt, kann mit einer Belohnung zwischen 500 und 2000 US-Dollar rechnen, allerdings zahlt Mozilla nicht für alle entdeckten moderaten Verwundbarkeiten.

Die Bounty-Bug-Webseite gibt auch Tipps, wie Sicherheitsforscher an höhere Belohnungen kommen. Offenbar kommt es stark auf die Informationen im Bug Report an. Lässt sich eine kritische Lücke ganz klar ausbeuten und fällt der Bug Report ausführlich aus und zeigt Wege, um die Schwäche auszunutzen, entlohnt Mozilla die Anstrengung mit 7500 US-Dollar. Insgesamt hat das Projekt nahezu 1.6 Millionen US-Dollar ausgezahlt.

Daneben hat Mozillas Sicherheitsteam bereits vor einiger Zeit eine Bounty Bug Hall of Fame eingeführt, kündigte diese aber erst jetzt offiziell an. Dort listet es die erfolgreichsten Bug-Jäger sortiert nach Jahren auf.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.