Ryan Pickren ist ein Student im Bereich Cybersecurity am Georgia Institute of Technology – und nun um rund 100’000 Dollar reicher. Er hat nämlich eine kritische Sicherheitslücke gefunden, die Apple-Computer trifft. Wie er sagt, wäre es damit möglich gewesen, die volle Kontrolle über Macs zu übernehmen.

Angreifer hätten aufgrund der Schwachstelle auf das Mikrofon, die Webcam und die Bildschirmfreigabe der Macs zugreifen können. Zudem hätten sie vollen Zugriff auf alle webbasierten Konten der Nutzerinnen und Nutzer erlangt – also von iCloud bis Paypal. Damit ein solcher Angriff auf die Macs möglich geworden wäre, hätte man nur auf ein vermeintlich harmloses Dokument oder Bild klicken müssen. Apple hat sich bisher nicht öffentlich zur Schwachstelle geäussert.

Finderlohn: Über 100’000 Dollar

Laut Pickren hat Apple die Schwachstellen in Safari und iCloud unterdessen geschlossen. Der Student bekam vom Hersteller 100’500 Dollar für seine Entdeckung. Das entspricht umgerechnet rund 93’000 Franken. Laut Appleinsider.com sei dies die bisher vermutlich grösste Auszahlung in Apples Bug-Bounty-Programm.

Diese Programme sind bei grösseren Firmen weit verbreitet. Sicherheitsexpertinnen und Sicherheitsexperten können damit Fehler, Schwachstellen und Sicherheitslücken direkt an die Hersteller von Hard- oder Software melden. Je nachdem wie gravierend die entdeckte Lücke ist, fällt dann der Finderlohn – sprich das Kopfgeld, auf englisch Bug Bounty, aus.

Bug-Bounty-Programme

Auch 20 Minuten hat Anfang 2021 ein entsprechendes Programm gestartet. 850 Hackerinnen und Hacker und Sicherheitsforschende haben seit der Lancierung des neuen Auftritts darin gezielt nach Sicherheitslücken gesucht. Wird so eine gefunden, so erhält der oder die Entdeckerin dafür eine Prämie von bis zu 5000 Dollar, was rund 4600 Franken entspricht. «Ziel ist es, die sicherste Newsplattform der Schweiz aufzubauen. Wir beschreiten damit hierzulande eine Vorreiterrolle für Cybersecurity», sagt Andreas Schneider, Chief Information Security Officer der TX Group bei der Lancierung des Programms im Jahr 2021.