Für das Aufspüren typischer Angriffsflächen etwa für Cross-Site Scripting, Cross-Site Request Forgery oder Remote Code Injection winken 500 US-Dollar. Höhere Belohnungen verspricht Facebook für komplexere Sicherheitslücken, nennt aber keine konkreten Zahlen. Fehler an der Facebook-internen Infrastruktur ("corporate infrastructure") sowie an Websites Dritter oder in Software von Drittanbietern, das betrifft insbesondere Facebook-Apps, sind übrigens ausgeschlossen. Facebook zahlt auch nicht für Denial-of-Service- oder Spam-Szenarien sowie alles, was in den Bereich "social engineering" fällt.

Zudem stellen die Facebook-Betreiber eine Reihe von Bedingungen auf: So geht die Prämie nur an den ersten, der eine Sicherheitslücke diskret meldet. Der dafür empfohlene Weg führt über das hauseigene Webformular für "Whitehat"-Hacker. Ausserdem verlangt das Unternehmen eine "angemessene Zeitspanne", um die Sicherheitslücke stopfen zu können, bevor sie veröffentlicht wird. Ein "Whitehat" darf bei seiner Suche keinen Schaden an Daten anrichten oder Dienste behindern. Facebook sichert im Gegenzug zu, keine Gerichtsverfahren gegen Personen anzustreben, die sich an diese "Responsible Disclosure Policy" halten. Facebook zahlt nicht In Länder, die mit US-Sanktionen belegt sind.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE