Der Bug-Bounty-Markt wird immer attraktiver

1. März 2018, 14:13
  • security
  • google
  • microsoft
  • cisco
  • intel
image

Ein Vergleich, wer wieviel zahlt pro Lücke und wohin die Prämien neuerdings fliessen.

Ein Vergleich, wer wieviel zahlt pro Lücke und wohin die Prämien neuerdings fliessen.
Mit Bug-Bounty-Programmen können sich Tech-Firmen, aber auch andere, über Lücken in ihren Informatikprodukten aufklären lassen, die von Angreifern ausgenutzt werden könnten. Wenn sie Leute bezahlen, um die Fehler in Software oder Hardware zu finden, können sie die Lücken nicht nur schneller zu schliessen, sondern sie können die Entdecker auch davon abhalten, ihr Wissen über die Schwachstellen an Kriminelle und Spione zu verkaufen.
Aber welche IT-Firma zahlt einem Security-Forscher eigentlich wieviel pro gefundene Lücke? Die höchsten Kopfgelder variieren stark, je nach Firma und je nachdem, ob man einen funktionierenden Exploit vorweist oder nicht.
Dies zeigt der Vergleich von Bug-Bounty-Programmen, den 'CRN.com' gemacht hat.
Am wenigsten unter den verglichenen Firmen zahlt AVG (Minimal 50 Dollar, maximal 1000). Im hinteren Mittelfeld liegt Cisco Meraki (100 bis 2500 Dollar). Bei Qualcomm kann ein Securityforscher zwischen 200 und 15'000 Dollar einstreichen, wenn er beispielsweise eine Snapdragon-Lücke findet.
Die Spanne an "Kopfgeldern" ist bei Microsoft recht konsistent zwischen 500 und 15'000 Dollar, ob Cloud, Microsoft .NET Core, ASP.NET Core, Microsoft Office oder Edge. Bei Windows Defender geht die Maximalsumme dann auf 30'000 Dollar hoch.
Google zahlt besser. Für Google-eigene Services wie Google oder YouTube bis zu 31'337 Dollar, bis 100'000 für Chrome-Lücken und 200'000 bei Android. Total hat der Konzern 2017 laut 'Google Watchblog' 2,9 Millionen Dollar ausbezahlt.
Intel hat sein Bug-Bounty-Programm nach Meltdown und Spectre ausgeweitet, nun gibt’s zwischen 500 und 250'000 Dollar. Das ist Rang zwei.
Spitzenreiter unter den verglichenen Programmen ist das Microsoft Hyper-V Bounty Program mit einer Prämienspanne von 5000 bis 250'000 Dollar für Schwachstellen, die Remotecodeausführung ermöglichen sowie für Denial-of-Service-Schwachstellen.
Die Trends im Bug-Bounty-Markt
Insgesamt nimmt nicht nur die Anzahl von Attacken auf IT-Systeme und die Umsätze mit Security-Produkten zu, sondern auch die Zahl der neu gestarteten Bug-Bounty-Programmen. Laut 'Bugcrowd' hat sich ihre Zahl 2017 verdreifacht, immer mehr "normale Firmen" nutzen das Konzept. Dies zeigt der State of Bug Bounty Report (PDF).
Im Report werden auch die durchschnittlichen Auszahlungen beziffert: "Die höchsten durchschnittlichen Auszahlungen beziehen sich auf Hardware- und IoT-Ziele wie Router, Webcams und Wearables mit 742 Dollar. Die niedrigsten wurden getätigt für mobile Anwendungen mit 385 Dollar. Im mobilen Bereich sind Android-Sicherheitslücken in der Regel für höhere Auszahlungen verantwortlich als iOS-Lücken."
Die ausbezahlten Prämien sind seit 2015 um 94 Prozent gewachsen, das hänge mit der steigenden Komplexität von Anforderungen für Prämien und den gefundenen, kritischen Bugs zusammen, so 'Bugcrowd'.
Im gleichen Zeitraum wurden auch viel mehr Lücken gefunden und gemeldet, so der Report.
Im Bug-Bounty-Markt hat sich eine interessante Verschiebung ergeben: Erstmals waren es 2017 nicht mehr vor allem indische Security-Forscher, welche am zahlreichsten Prämien kassieren: 14'244 US-Amerikaner erhielten eine Prämie 2017, aber "nur" 11'663 Inder. Die finanziellen Möglichkeiten sind offensichtlich attraktiver geworden. (Marcel Gamma)

Loading

Mehr zum Thema

image

Änderung an WAN-Router führte zu Microsoft-Ausfall

Vergangene Woche sind verschiedene Applikationen und Dienste von Microsoft ausgefallen. In einem vorläufigen Bericht erklärt der Kon­zern, wie es dazu kommen konnte.

publiziert am 30.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023