Tor Project will Geld für gefundene Bugs zahlen

In der Vergangenheit wurden immer wieder Sicherheitslücken in Tor gefunden. Die Software dient dazu, anonym im Internet zu surfen und wird unter anderem von Menschen in repressiven Staaten genutzt. Auf dem 32C3-Kongress das Chaos Computer Clubs (CCC) in Hamburg wurde nun bekannt, dass das Tor Project ab kommendem Jahr Geld für gefundene Lücken zahlen will.

Das neue Bug-Bounty-System soll dafür sorgen, dass Sicherheitslücken schneller gefunden und gefixt werden können. Ein Kopfgeld für gefundene Programmfehler zahlen unter anderem bereits Facebook und Microsoft, aber auch Zerodium.

Das Unternehmen, das mit Sicherheitslücken handelt, hatte in diesem Jahr rund eine Million US-Dollar für den ersten erfolgreichen iOS-9-Jailbreak geboten und nach eigenen Angaben dann auch ausgezahlt. An wen der Bug weiterverkauft wurde und was weiter damit geschehen ist, wollte Zerodium aber nicht kommentieren.

Laut Wired.com ist Zerodium auch bereit Geld für Bugs in Tor zahlen. Rund 30.000 Dollar soll dem Unternehmen eine Lücke in dem Anonymisierungsprogramm wert sein. Wie viel das Tor Project selbst bereit ist zu zahlen, ist noch nicht bekannt. Die Entwickler wollen stattdessen mit HackerOne kooperieren. Das Unternehmen ist ebenfalls auf Bugs spezialisiert, arbeitet aber direkt mit den betroffenen Software-Herstellern zusammen.