Bugfinder verzichten auf Belohnung von Mozilla

Seit sechs Jahren bietet Mozilla Bargeld an, wenn Anwender kritische Sicherheitslücken in den Programmen auffinden und melden. Jonathan Nightingale, einer der leitenden Direktoren für Firefox, berichtete jetzt in einem Interview über die Mozilla Stiftung, dass aber zwischen zehn und fünfzehn Prozent aller Bugfinder das Geld ausschlagen und bevorzugt nach einem T-Shirt oder einer Spende zugunsten von EFF fragen.

Für die meisten Bug-Meldungen von Entwicklern zahlt Mozilla ohnehin nichts, da sie nur allgemeine Fehler in der Programmierung betreffen. Für kritische Sicherheitslücken sieht die Sache aber anders aus, da es dafür einen Schwarzmarkt für Hacker gibt, die immer neue Wege suchen, Malware auf den Computern der Anwender zu aktivieren. Mit Bargeld versucht daher Mozilla alle zu verleiten, das Richtige zum Schutz der Anwender zu tun.

Die Belohnung von Mozilla stieg von ursprünglich 500 US-Dollar im August 2004 auf mittlerweile 3.000 US-Dollar im Juli 2010 an und Nightingale bezeichnete den Schritt als vollen Erfolg. "Für Nord-Amerika scheinen 3.000 US-Dollar nicht viel zu sein - aber die Beiträge kommen von überall in der Welt und in manchen Ländern reicht seine solche Belohnung ziemlich weit.", schätzte Nightingale.

Insgesamt wurden seit der Einführung dieses Schemas 120 kritische Sicherheitslücken von 80 verschiedenen Anwendern an Mozilla gemeldet. Google folgt dem Beispiel im Juli 2010 und bietet nun auch 3.000 US-Dollar pro schweren Fehler in Chrome an. Microsoft hingegen weigert sich auch weiterhin, für solche Informationen zu zahlen. Laut den Entwicklern bei Mozilla könnte der Austausch von Bargeld gegen kritische Informationen aber bald Standard sein und eine Reihe weiterer Software-Herstellern wollen bald Mozillas Beispiel folgen.