Wie Hacker mit Sicherheitslücken Millionen verdienen – und wer sie dafür bezahlt
Sogenannte Zero-Day-Exploits sind Sicherheitslücken in Apps oder gar ganzen Betriebssystemen, die bislang unentdeckt geblieben sind. Die Hersteller:innen haben also keine Ahnung, dass ihr System über einen Umweg offengelegt werden kann und infolgedessen die Daten der Nutzer:innen in Gefahr geraten.
Unternehmen wie Crowdfense geben Hacker:innen für das Aufspüren solcher Exploits eine Menge Geld. Die Hacks können an Regierungsbehörden weiterverkauft werden, die damit etwa Kriminelle unerkannt tracken oder abhören können.
Millionen für Whatsapp-, iPhone- und Google-Hacks
Das meiste Geld bekommen Hacker:innen, wenn sie SMS- und MMS-Dienste per Hack aushebeln können. Hier reicht die Belohnung – je nach Schwere des Exploits – von sieben bis neun Millionen US-Dollar.
Mobile Betriebssysteme erzielen ebenfalls hohe Preise. Für einen Zero-Day-Exploit in Android gibt es fünf Millionen Dollar, für iOS sogar bis zu sieben Millionen Dollar.
Browser stehen bei Hacker:innen auch hoch im Kurs. So gibt eine Sicherheitslücke in Google Chrome bis zu drei Millionen Dollar. Wer den Code des Apple-Browsers Safari knacken kann, bekommt bis zu 3,5 Millionen Dollar.
Zu guter Letzt gibt es für Messenger eine Menge Geld. Whatsapp steht mit drei bis fünf Millionen Dollar Belohnung genauso hoch im Kurs wie Apples iMessage. Andere Dienste wie Telegram oder Threema stehen zwar ebenfalls in der Übersicht, aber ohne konkrete Belohnung.
Preise für Hacks steigen weiter an
Bereits 2019 hatte Crowdfense eine Liste mit Preisen für Zero-Day-Exploits veröffentlicht, wie Security Affairs berichtete. Damals lag die höchste Belohnung bei drei Millionen Dollar. In der Zwischenzeit sind die Preise also stark angestiegen.
Der Grund: Unternehmen wie Google, Apple und Meta machen es immer schwerer, ihre Systeme zu umgehen. Sie haben ihre ganz eigenen internen Cybersecurity-Teams, die solche Lücken aufspüren und beheben, bevor jemand davon weiß.
Zudem bieten viele Firmen eigene „Bug Bounty“-Programme an. In diesen bieten sie ebenfalls finanzielle Belohnungen, wenn die Exploits von Außenstehenden gemeldet werden.
Wie Security Week berichtet, bezahlen die Firmen jedes Jahr große Summen für die Programme. So hat Apple seit 2019 etwa 20 Millionen Dollar ausgezahlt, Microsoft zahlt knapp 13 Millionen Dollar pro Jahr und Google kommt im Jahr auf etwa zwölf Millionen Dollar.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team