Yahoo will für gefundene Sicherheitslücken bis zu 15.000 US-Dollar zahlen

Yahoo will künftig Nutzer, die Sicherheitslücken melden, mit einem Geldbetrag zwischen 150 und 15.000 Dollar belohnen – je nachdem, wie neu und wie gefährlich die Schwachstelle ist. Der Webdienst hofft, damit die Beziehungen zur Sicherheits-Community zu verbessern und Schwachstellen künftig effizienter bekämpfen zu können. Die neuen Regeln sollen ab 31. Oktober 2013 gelten; geprüft werden sollen rückwirkend auch alle seit 1. Juli 2013 gemeldeten Schwachstellen. Das dürfte demzufolge auch für die von den Sicherheitsforschern von High-Tech Bridge gemeldeten vier Schwachstellen bei Yahoo gelten, die für Cross-Site Scripting (XSS) anfällig waren. Sie sollten zunächst nur mit einem T-Shirt im Wert von 12,50 Dollar pro Lücke belohnt werden, wofür Yahoo kräftig Kritik einstecken musste.

Ramses Martinez, Director des Yahoo-Security-Teams "Yahoo! Paranoids", schreibt auf der Yahoo-Developer-Website, die Idee mit den T-Shirts sei als persönliche Geste gemeint gewesen und sollte eben über das Verschicken einer bloßen E-Mail hinausgehen. Vor seinem Eintritt habe es keine festgelegte Vorgehensweise gegeben, wie man mit Findern von Sicherheitslecks umzugehen habe. Die T-Shirts hätte er sogar von seinem eigenen Geld gekauft. (ur)