Avast News

Unser neues Bug-Bounty-Programm bietet attraktive Belohnungen

Emma McGowan, 11 November 2020

Die Neuauflage unseres Bug-Programms bietet einfache Regeln und zusätzliche Funktionen.

In einer idealen Welt hätte jedes Unternehmen eine fehlerfreie Software. Keine Löcher, keine Fehler, absolut luftdicht. Aber in der realen Welt hat jedes Unternehmen “Lücken”, die, wenn sie unentdeckt bleiben, die Sicherheit bedrohen können - sogar Sicherheitsfirmen. Deshalb hat unser Chief Information Security Officer (CISO), Jaya Baloo, das Avast Bug Bounty-Programm neu aufgelegt. Es erscheint im neuen Look, mit neuen Regeln und einer neuen Hacker Hall of Fame.

"Man kann nur eine begrenzte Menge an Fehlern selbst finden", sagt Baloo. "In einer perfekten Welt will jeder fehlerfreie Software anbieten, die beim ersten Durchlauf in den eigenen Tests perfekt performed. Aber das ist leider nicht immer möglich." 

Die Regeln für das neuaufgelegte Bug-Bounty-Programm sind recht einfach gestaltet: Wenn Sie einen reproduzierbaren Fehler gefunden haben, können Sie diesen über ein Bug-Formular dokumentieren und einreichen. Der erste Bughunter, der einen bestimmten Fehler meldet, erhält eine Prämie von mind. 400 US Dollar von uns, bei schwerwiegenderen Bugs liegt der Betrag sogar darüber. Wenn Sie versuchen, den Fehler selbst auszunutzen oder ihn öffentlich zu entlarven, können wir Sie logischerweise nicht belohnen. "Das Bug-Bounty-Programm setzt auf die Macht der Gemeinschaft", sagt Baloo. "Ich finde ich es fair, dass wir erfolgreiche Bughunter für ihre Leistung honorieren.” 

Avast ist auch daran interessiert, über Schwachstellen in Produkten zu erfahren, die wir verwenden und die nicht von uns programmiert wurden. Leider können wir solche Meldungen nicht finanziell honorieren, aber sie dürfen natürlich ebenfalls eingereicht werden. 

Folgende Bugtypen kommen für eine Bug Bounty-Prämie in Frage:

  • Remote code execution
  • Local privilege escalation
  • Denial-of-service (DoS)
  • Certain scanner bypasses
Mehr Infos zum Regelwerk finden Sie hier: Bug Bounty-Regeln.

Jaya Baloo hat eine Hacker-Hall of Fame eingerichtet, um die ethischen Hacker öffentlich zu würdigen, die uns dabei helfen, unsere Produkte und unsere Webseite zu sichern. Selbstverständlich darf man auf Wunsch auch anonym bleiben. "Es uns geht darum, Anerkennung zu geben, wenn jemand sie verdient”, findet Baloo. "Wir versuchen, die Welt sicherer zu machen, und wenn Menschen uns dabei helfen, wollen wir das entsprechend honorieren.”

Ziel von Baloo ist, dass die neue Website ein besonders Feeling vermittelt und hervorhebt, dass "Bug-Finder cool sind und ihre Arbeit wirklich sinnvoll ist". Daher kommt die Webseite im neuen Science Fiction-Design à la Star Wars daher und soll eine Art Hommage an alle Nerds und Kopfgeldjäger sein. "Dieses ganze Kopfgeldjäger-Ding hat unter Nerds eine lange Tradition", sagt Baloo.

Das Ziel des neuen Bug Bounty-Programms ist es, nicht nur unsere Produkte abzusichern, sondern auch dazu beizutragen, die digitale Welt für alle sicherer zu machen. Und dafür brauchen wir Ihre Hilfe. "Sagen Sie uns, welche Fehler Sie finden", bittet Baloo. "Wir sind dafür wirklich sehr dankbar.”

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter