Mozilla: Mehr Geld für das Finden von Sicherheitslücken

Wer eine Sicherheitslücke in Firefox, Firefox OS oder Thunderbird findet, kann hierfür in Zukunft mehr Geld erhalten als bisher. Mozilla hat die Prämien teilweise stark erhöht und belohnt außerdem nicht länger nur das Finden der kritischsten Sicherheitslücken.

Das Melden von Sicherheitslücken soll sich in Zukunft mehr lohnen als bisher. Nachdem Mozilla die Prämie im Jahr 2010 von 500 Dollar auf 3.000 Dollar erhöht hat, steht nun die nächste Erhöhung an. Seit es Mozillas Bug-Bounty-Programm gibt, hat Mozilla insgesamt 1,6 Millionen Dollar an Prämien ausgeschüttet.

Die minimale Belohnung für das Finden einer als hoch oder kritisch eingestuften Sicherheitslücke liegt nach wie vor bei 3.000 Dollar, je nach Schwere der Sicherheitslücke, Qualität der Meldung und Wahrscheinlichkeit der Ausnutzung sind aber auch Prämien in einer Höhe von 5.000 Dollar, 7.500 Dollar und in besonderen Fällen sogar über 10.000 Dollar möglich.

Das Finden einer nur als moderat eingestuften Sicherheitslücke hat bisher überhaupt kein Geld gebracht. Hier sind in Zukunft Prämien zwischen 500 und 2.000 Dollar möglich.  Allerdings wird nicht jede als moderat eingestufte Sicherheitslücke eine Belohnung bringen.

Voraussetzung ist, dass die Sicherheitslücke in einer aktuellen Version der jeweiligen Anwendung vorkommt – es gibt natürlich keine Belohnungen für veraltete Versionen. Auch darf die Sicherheitslücke nicht schon gemeldet worden sein. Belohnt wird das Finden von Sicherheitslücken in der Desktop-Version von Firefox, Firefox für Android, Firefox OS sowie Thunderbird. Mitarbeiter von Mozilla sowie Entwickler, die am entsprechenden Code beteiligt waren, sind nicht berechtigt, eine Prämie zu erhalten. Genauere Details gibt es auf Mozillas Webseite.