Facebook zahlt Rekordbelohnung für Königs-Lücke

Den bisher höchsten Einzelbetrag im Rahmen seines Bug Bounty-Programms hat das Social Network Facebook an den Sicherheits-Forscher Reginaldo Silva ausgezahlt. Dieser erhielt 33.500 Dollar für eine gemeldete Sicherheitslücke. Eigentlich, so muss man sagen, handelt es sich trotz des hohen Betrages eher um eine symbolische Anerkennung dafür, dass Silva ehrlich handelte und seine Entdeckung den Technikern bei Facebook mitteilte. Denn das Problem war so schwerwiegend, dass er auf dem Schwarzmarkt sicherlich einen signifikant höheren Preis hätte erhalten können. Doch dies ist ein grundsätzliches Problem der Bug Bounty-Programme.

Die Sicherheitslücke entstand durch einen Fehler bei der Implementierung von OpenID. Die Technologie ermöglicht es, dass sich Nutzer auch mit einem Login, dass sie bei einem anderen Anbieter angelegt haben, in das Social Network einloggen. In Silvas Fall führte der Angriff über Googles E-Mail-Dienst Gmail.

Silva konnte den Vorgang so manipulieren, dass Gmail in dem Prozess durch einen von ihm kontrollierten Dienst ersetzt wurde. Daraufhin konnte er manipulierten Code bei Facebook einschleusen, der den Webserver dazu brachte, ihm verschiedene Daten von dem Rechner auf dem er lief, zu schicken. Aus diesen ließen sich beispielsweise auch die Zugangskennungen von Administratoren herauslesen.

"Da war mir klar, dass ich die Schlüssel zum Königreich gefunden hatte", erklärte der Sicherheitsforscher. Diese ermöglichten es immerhin, die Kontrolle über die Rechner zu übernehmen, auf denen das Social Network betrieben wird. Für einen solchen Schatz wären Kriminelle sicherlich bereit gewesen, eine stattliche Summe auf den Tisch zu legen.

Silva meldete den Fehler allerdings an Facebook und das Unternehmen reagierte extrem schnell. Der Fehler wurde binnen sehr kurzer Zeit behoben, was zwar nicht unbedingt üblich, in diesem Fall aber unbedingt geboten war.