Apples Bug Bounty Programm kommt nicht gut an – Drittanbieter zahlen mehr

Die Idee war gut und nicht unüblich in der Industrie. Ein Bug Bounty Programm von Apple sollte findige Programmierer, Hacker und Sicherheitsforscher dazu bewegen Sicherheitslücken in Apples Betriebssystemen zu finden und zu melden. Das im letzten Jahr ins Leben gerufene Programm leidet jedoch unter einem grundlegenden Problem. Wie Motherboard feststellte, ist die Entlohnung für den Finder einfach zu gering.

„Andere zahlen mehr“

Laut Apple erhalten die Bugjäger bis zu 200.000 Dollar für gefundene Schwachstellen. Die Entlohnung richtet sich nach der Höhe des Sicherheitsrisikos des gefundenen Bugs. Hierbei ist Apple ein Angriff auf den Bootloader schon mal die 200.000 Dollar wert. Ein Exploit, der Nutzerdaten aus einem Sandbox-Prozess lotsen kann, wird hingegen mit 25.000 Dollar entlohnt.

Die ist zu wenig, wie acht Bugjäger Motherboard in einem Interview verraten haben. So zahlen Drittanbieter weitaus mehr für die wertvollen Informationen.

„People can get more cash if they sell their bugs to others […] If you’re just doing it for the money, you’re not going to give [bugs] to Apple directly.“

In dem Zusammenhang ist es auch nicht verwunderlich, dass die angesprochenen Sicherheitsforscher keinen kennen, der jemals das Bug Bounty Programm von Apple in Anspruch genommen hat.

Das Unternehmen Zerodium ist beispielsweise bereit für Exploits bis zu 1,5 Millionen Dollar zu zahlen. Die Firma Exodus Intelligence zahlt währenddessen bis zu 500.000 Dollar. Zerodium und Exodus Intelligence behaupten übrigens, sich mit den gekauften Informationen nur an andere Firmen, Strafverfolgungsbehörden und Geheimdienste zu wenden.