Finderlohn für Sicherheitslücken: Apple will attraktiver für Hacker werden

Apple hat das hauseigenen Security-Portal überarbeitet und reagiert in einem zum Relaunch verfassten Blogeintrag auf die Kritik aus Hacker-Kreisen, die Cupertino schon länger zu langsame Reaktionen auf gemeldete Sicherheitslücken und zu geringe Zahlungen bei erfolgter Verifizierung vorwerfen.

Reaktionszeit von 6 Tagen

Die sogenannte Apple Security Bounty, ein Programm das Hackern und IT-Sicherheitsexperten einen Finderlohn für gefundene Sicherheitslücken auszahlt, reagiere inzwischen deutlich schneller auf neue Einreichungen. Man habe das Team vergrößert und könne auf nahezu alle Berichte jetzt binnen zwei Wochen reagieren. Die meisten Meldungen würden sogar innerhalb von sechs Tagen abgearbeitet.

Zudem werden man Sicherheitsexperten die Kontaktaufnahme vereinfachen und bietet für die Einreichung gefundener Schwachstellen nun ein gesondertes Formular an, das nicht nur den Login per Apple ID ermöglicht, sondern auch die Nachverfolgung laufender Fälle anbietet, während Apple die Angaben des Finders prüft und auswertet.

Im Schnitt $40.000 pro Lücke

Laut Apple gehört die hauseigenen Security Bounty zu den am schnellsten wachsenden Vergütungs-Programmen der Branche und würde im Schnitt rund 40.000 US-Dollar für gefundene Sicherheitslücken auszahlen. Für besonders gravierende Sicherheitslücken seien seit Gründung des Programme zudem 20 separate Zahlungen von über 100.000 US-Dollar erfolgt.

Apple hat das hauseigene Bug-Bounty-Programm 2016 im Rahmen der BlackHat-Konferenz eingeführt und die möglichen Prämien 2019 auf bis zu 1 Million US-Dollar erhöht. Zuvor waren aus der Szene immer wieder Berichte zu hören, nach denen sich gefundenen Sicherheitslücken aus dem Schwarzmarkt deutlich profitabler als bei Apple selbst absetzen ließen.

Apples neues Security-Portal wartet hier auf euren Besuch.