Der Bezahldienst Paypal hat einen neuen Wettbewerb ins Leben gerufen. Beim so genannte Bug Bounty Programm kann jeder, der Sicherheitslücken oder Fehler in den Produkten (etwa den Apps) und Webseiten von Paypal findet, diese bei Paypal melden. Besonderen Wert legt Paypal verständlicherweise auf Bugs, über die Angreifer die Webseiten und den Dienst direkt attackieren können. Demensprechend stehen Cross-Site-Scripting, Cross-Site-Request-Forgery und SQL-Injections ganz oben auf der Liste. Ebenfalls interessiert ist Paypal aber auch allen Attacken mit denen sich die Authentifizierung umgehen lässt.

Leider sagt der Dienst nicht, wie viel er für eine etwaige Schwachstelle zahlt. Laut einem Beitrag auf ThreatPost ist sich der CISO von Paypal, Michael Barret, sicher, dass seine Firma die erste Finanzinstitution ist, die so ein Programm ins Leben ruft. Bezahlt wird ein gefundener Bug übrigens per PayPal - sobald die Schwachstelle behoben wurde.

Diese Kopfgeld-Programme für Schwachstellen sind inzwischen bei vielen Firmen Bestandteil der Sicherheitsstrategie. Wir bei Microsoft haben beispielsweise mehr als 250 000 US-Dollar als Preisgeld für unseren BlueHat Prize ausgesetzt. Der Preisträger wird in wenigen Wochen im Rahmen der IT-Sicherheitskonferenz Black Hat in Las Vegas bekannt gegeben. Auch Google unterhält ein Bug-Bounty-Programm.

Solche Programme sind auch eine Reaktion auf die zunehmende Professionalisierung der Malware-Schreiber. Diese geben mittlerweile gutes Geld für Schwachstellen aus. Das Magazin Forbes berichtet, dass beispielsweise für eine unbekannte Windows-Lücke bis zu 120 000 US-Dollar gezahlt werden. Die Kunden seien dabei nicht nur das organisierte Verbrechen oder Spam-Versender. Forbes spricht mit dem in Sicherheitskreisen bekannten Hacker The Grugq, der unter anderem als Vermittler zwischen Bug-Entdecker und potentiellen Kunden auftritt. Laut ihm zählen westliche Regierungen, vor allem die USA, zu seinem Kundenkreis. Asien und Russland würden sich dagegen kaum als Abnehmer lohnen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.