Ein Bug-Bounty-Programm ist ein Anreizprogramm, das von Unternehmen oder Einrichtungen eingerichtet wird, um unabhängige Developer zu belohnen, wenn sie bislang unbekannte Schwachstellen in einer Software oder während einer inkrementellen App-Entwicklung bemerken und dem Betreiber melden.
Ein Bug-Bounty-Programm wird von Unternehmen oder Organisationen genutzt, die ein hohes Maß an Sicherheit für ihre IT-Systeme oder Anwendungen benötigen. Das sind insbesondere Unternehmen in den Bereichen Tech, FinTech sowie Regierungen und die sogenannte kritische Infrastruktur. Ein Bug-Bounty-Programm kann dazu beitragen, technische Schwachstellen zu identifizieren, bevor sie von Hackern ausgenutzt werden, und somit das Kundenvertrauen in die Sicherheit des Unternehmens stärken.
Ein Beispiel für ein erfolgreiches Bug-Bounty-Programm stammt von Google. Es ist eines der größten und bekanntesten Bug-Bounty-Programme weltweit. Hier war die Identifizierung einer Schwachstelle im Browser Google Chrome durch den Sicherheitsforscher Sergey Glazunov im Jahr 2012 eine erfolgreiche Meldung. Diese Schwachstelle ermöglichte es Angreifern, die Kontrolle über den Computer des Opfers zu übernehmen. Google belohnte den Programmierer mit 60.000 US-Dollar (Quelle: Chromium/chromium.org).