Sicherheitslücken sind heutzutage Goldwert – denn diese lassen sich für viel Geld verkaufen. Fehler in Software, welche unberechtigten Zugriff auf Daten erlauben, werden von Kriminellen ausgenutzt um an Kreditkartendaten zu gelangen, Bewegungsprofile zu erstellen oder die Identität des Zieles zu stehlen. Daher bieten Hacker teils horrende Summen für Sicherheitslücken in gängigen Software-Plattformen. Doch die Tech-Giganten haben schon lange erkannt, dass der erlittene Image-Schaden größer ist als die Summe, für welche Sicherheitslücken am Schwarzmarkt gehandelt werden. Daher bieten diese Unternehmen Bounty-Programme an und bezahlen Sicherheitsforscher und Hacker für gefundene Lücken.


Apple zahlte nur wenig
Apple legte bereits 2016 ein solches Programm auf – doch zuvor musste man sich akkreditieren lassen und die maximal ausgezahlte Summe lag bei "nur" 200.000 Dollar. Obwohl dies natürlich viel Geld ist, sind die Summen für Sicherheitslücken auf dem Schwarzmarkt um ein Vielfaches höher. Auch war das ursprüngliche Programm nur auf iOS gemünzt – Sicherheitsmängel in macOS wurden nicht vergütet.

Neues Programm im August angekündigt
Schon Anfang August kündigte Apple auf der Black-Hat-Konferenz ein neues Bounty-Programm an. Der Betrag wurde auf maximal 1.000.000 Dollar angehoben und auch Fehler in macOS führen zu einer Vergütung. Wird ein Fehler in einer Betaversion entdeckt, hebt Apple die Auszahlung noch einmal um 50 % an – somit steigt die Summe auf maximal 1.500.000 Dollar. Spendet man die erhaltene Bezahlung an eine gemeinnützige Organisation, zahlt Apple sogar noch einmal den gleichen Betrag obendrauf.

Jetzt verfügbar
Ab sofort steht das neue Security-Bounty-Programm für alle zur Verfügung. Je nach gefundener Sicherheitslücke zahlt Apple teils deutlich unterschiedliche Beträge. Die maximale Vergütung erhalten Hacker, welche eine Lücke im Kernel mit Vollzugriff identifizieren, welche keinerlei Nutzerinteraktion erfordert. Etwas verwundert, dass Apple nur 100.000 Dollar für unautorisierten Zugriff auf iCloud-Nutzerdaten zahlt:


Auf den Seiten zum Security Bounty Program stehen detaillierte Informationen wie ein Sicherheitsmangel an Apple zu melden ist. Am wichtigsten ist es natürlich zu beschreiben, wie der Sicherheitsmangel ausgenutzt werden kann – am besten ist hier natürlich eine Demonstration mit Beispiel-Code. Vergütet wird nur, wenn der Mangel nicht bereits von einem anderen Sicherheitsforscher gemeldet wurde.