Wie Google und viele andere Unternehmen, zahlt auch Facebook ein stattliches Sümmchen an seine Nutzer aus, wenn diese einen Bug oder eine Sicherheitslücke entdecken und den Betreibern melden.

Im Falle von Facebook werden mindestens 500 US-Dollar ausbezahlt –- eine Summe, die zwei Jahre nach dem Start des sogenannten Bug-Bounty-Programms immer mehr Nutzer in Anspruch genommen haben. Wie das soziale Netzwerk in diesen Tagen bekannt gab, hat man bereits über eine Millionen US-Dollar an findige Nutzer ausbezahlt. Insgesamt sollen 329 User aus 51 verschiedenen Nationen am Programm teilgenommen haben.

Die aktivsten Bounty-Empfänger fanden sich in den USA, Indien, Großbritannien, der Türkei und in Deutschland. Etwa 20 Prozent der Summe flossen in das Heimatland von Facebook. Doch nicht alle Bug-Reporter wurden mit 500 US-Dollar abgespeist. Für die bislang gravierendste Sicherheitslücke zahlten die Betreiber von Facebook einem Nutzer stolze 20.000 US-Dollar.

Laut Facebook hätten einige der Programm-Teilnehmer schon mehr als 100.000 US-Dollar verdient und sich das Programm teilweise nicht nur der Aufbesserung ihres Lebensunterhalts wegen zum Hobby gemacht. In zwei Fällen rekrutierte das weltweit größte soziale Netzwerk zwei Vollzeitkräfte aus dem Bug-Bounty-Programm in die eigenen Reihen. Der jüngste Teilnehmer sei gerade einmal 13 Jahre alt gewesen.

Doch für das Finden eines Bugs muss man nicht zwangsläufig ein harteingesessener Programmierer sein und jede Codezeile von Facebook auseinander nehmen. Bugs mit unterschiedlicher Tragweite lassen sich auch von einem normalen Nutzer ausfindig machen. Einen passenden Fall lieferte Facebook bei seiner jüngsten Meldung gleich mit: Demnach besserte Facebook bei der Gruppenverwaltung nach, da es passieren konnte, dass ein Nutzer ungewollt zum Administrator wurde und so die Kontrolle über eine Nutzergruppe übernehmen konnte.

Dabei konnte sich ein potentieller Angreifer die Blockier-Funktion zu Nutze machen, einer Gruppe beitreten, alle Mitglieder blockieren und schon erkannte das System, dass sich kein Nutzer mehr in der Gruppe befinde, und ließ den Angreifer zum Administrator der Gruppe aufsteigen, um die Gruppe wieder vermeintlich zum Leben zu erwecken.
Wer Fehler, Sicherheitslücken und andere Bugs bei Facebook findet, kann diese über diesen Link melden.