Schwachstellen aufspüren, Belohnung kassieren

Bug-Bounty-Beispiele

von - 03.04.2020
Die Bandbreite von Bug-Bounty-Programmen veranschaulichen die folgenden Beispiele:
EU: Die Europäische Kommission etwa ruft Sicherheitsforscher dazu auf, Sicherheits­lücken in 15 Open-Source-Software-Projekten zu finden, die von den EU-Institutionen in großem Umfang genutzt werden. Die Prämien reichen von 3000 bis 25.000 Euro. Für die Behebung der erkannten Sicherheitslücken wird ein zusätzlicher Bonus von 20 Prozent angeboten.
Apple: Der IT-Konzern betreibt das Programm Apple Security Bounty. Dabei bietet Apple je nach Art und Schwere des gemeldeten Sicherheitsproblems Belohnungen zwischen 100.000 Dollar (Maximum für eine Schwachstelle, die einen nicht autorisierten Zugriff auf iCloud-Kontodaten auf Apple-Servern ermöglicht) und einer Million Dollar für besondere Sicherheitslücken, die eine Netzwerkattacke ohne Beteiligung des Nutzers möglich machen.
Um solche Belohnungen zu erhalten, sind allerdings eine Reihe von Bedingungen zu erfüllen, die von Apple vorgegeben werden. Dazu gehört unter anderem:
  • Der Forscher muss das Problem als Erster an die Apple Product Security melden
  • Er muss einen klaren Bericht liefern, der einen funktionierenden Exploit enthält (für den Bericht macht Apple ebenfalls genaue Vorgaben)
  • Das Problem darf nicht öffentlich bekannt gegeben werden, bevor Apple die Sicherheitsempfehlung für den Bericht veröffentlicht hat.
Huawei: Der chinesische Telekommunikationsausrüster Huawei lädt Sicherheitsforscher ein, am Huawei-Mobile-Phone-Bug-Bounty-Programm teilzunehmen, und vergibt Prämien von bis zu 200.000 Euro pro eingereichter Schwachstelle – je nach Schweregrad. „Bug-Bounty-Programme sind seit einigen Jahren weit verbreitet und werden von Unternehmen eingesetzt, um die Sicherheit ihrer Produkte zu verbessern“, erläutert Gordon Muehl, Global CTO Security & Privacy Protection bei Huawei. „Es gibt viele unabhängige Sicherheitsforscher und dies ist ein Weg, um Zugang zu ihrem Wissen zu erhalten, mit ihnen zusammenzuarbeiten und die Sicherheit und Privatsphäre von Huawei- und Honor-Endgeräten zu ver­bessern.“
Im April 2018 hatte Huawei das Bug-Bounty-Programm testweise in China gestartet. Seit November vergangenen Jahres kooperiert Huawei nun mit der Amsterdamer Bug-Bounty-Plattform Zerocopter, um das Programm offiziell in Europa einzuführen.
OnePlus: Der Smartphone-Hersteller OnePlus hat kürzlich ebenfalls ein Bug-Bounty-Programm gestartet und ist dafür eine Partnerschaft mit der Sicherheitsplattform HackerOne eingegangen. HackerOne verspricht Zugriff auf ein umfangreiches Netzwerk von Security-Experten, die Sicherheitslücken aufspüren, bevor diese von externen Akteuren ausgenutzt werden können.
Gleichzeitig will das OnePlus Security Response Center, die eigene Bug-Bounty-Plattform, bei der Aufdeckung, Offenlegung und Behebung von Problemen, die die Sicherheit der OnePlus-Systeme beeinträchtigen könnten, mit Wissenschaftlern und Sicherheitsspezialisten zusammenarbeiten. Sicherheitsforscher aus der ganzen Welt können mit Hilfe des neuen Bug-Bounty-Programms nach OnePlus-bezogenen Sicherheitsproblemen suchen und diese melden. Die Belohnungen für qualifi­zierte Fehlerberichte bewegen sich zwischen 50 und 7000 Dollar, abhängig von der möglichen Auswirkung der Bedrohung.
Lufthansa: Auch die Lufthansa betreibt ein Bug-Bounty-Programm, und das schon seit geraumer Zeit. „Unsere Webpräsenzen sind interessant für Kriminelle im Netz. Datenklau und -handel sind ein lu­kratives Geschäft geworden. Die Sicherheit unserer Kundendaten hat seit jeher oberste Priorität. Wir haben bereits sehr hohe Standards, um Kundendaten zu schützen, und möchten diese mit Hilfe des Bug-Bounty-Programms noch weiter verbessern“, erklärte Andreas Dürkop, Vice President IT Security der Lufthansa Group, schon 2017.

Plattform

Referenzen und Beispiele

Bugcrowd

Mastercard, Netgear, Cisco Meraki, Tesla, FiatChrysler, Concur

HackenProof

Kuna, everiToken, Codex Exchange

HackerOne

AT&T, Equifax, TomTom, Capital One, Ford, Flickr, PayPal, IBM, MediaMarktSaturn, Toyota, Goldman Sachs, Sony, Starbucks

Hacktrophy

TrustPay, Daybyme, Mall.sk, Marketlocator

Intigriti

OneSpan Mobile, UZ Leuven, De Volkskrant, Base, Randstad

YesWeHack

OVH, Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium

Zerocopter

WeTransfer, AirFrance, KLM, Malengo, Stedin

Verwandte Themen