l+f: Rauswurf bei Bug-Bounty-Plattform wegen Veröffentlichung

l+f: Rauswurf bei Bug-Bounty-Plattform wegen Veröffentlichung

l+f:

Ein aktueller Fall wirft ein schlechtes Licht auf die Branche der Bug-Bounty-Plattformen. Der Krypto-Experte mit dem Alias Soatok hatte eine Schwachstelle in der für Kryptografie wichtigen Bibliothek Javascript Big Number (JSBN) gefunden und bei Bugcrowd eingereicht. Er lieferte dabei nicht nur eine ausführliche Beschreibung des Problems sondern auch Hinweise, wie es zu beseitigen wäre.

Weil es viel zu viel Arbeit gemacht hätte, baute er jedoch keinen Proof-of-Concept-Exploit, der demonstriert hätte, wie man das Problem konkret ausnutzen könnte. Damit war die Einreichung für Bugcrowd unzureichend. Trotzdem gestattete Bugcrowd auch keine Veröffentlichung. Als Soatok dann den Maintainer der Bibliothek über einen öffentlichen Bug-Report auf Github auf das Problem hinwies, drohte Bugcrowd sehr nachhaltig damit, seinen Account zu sperren. Der ließ sich auf diese Machtspiele nicht ein, sondern hängte den Vorfall an die große Social-Media-Glocke und erklärt sein Vorgehen jetzt auch in dem lesenswerten Beitrag: When Soatok Used Bugcrowd – and Got Banned for Doing the Right Thing.

Bug-Bounty-Plattformen sind angetreten, es Sicherheitsforschern leichter zu machen, ihre Funde an die Hersteller zu übermitteln und dafür auch noch Geld zu bekommen. Insbesondere versprachen sie Schutz vor der Verfolgung auf Grund von Anti-Hacker-Gesetzen, weil die Hersteller zur Teilnahme eine Safe-Harbour-Erklärung abgeben müssen.

Das Geschäftsmodell der Bug-Bounty-Plattformen beruht vor allem darauf, dass sie Firmen beim Abwickeln von Disclosure-Vorgängen und dem Auszahlen von Belohnungen unterstützen und dafür von diesen Firmen Geld bekommen. Eine wichtige Motivation der Firmen dabei ist, die Veröffentlichung von Sicherheitslücken wenn überhaupt dann kontrolliert ablaufen zu lassen. Das mag ein Grund dafür sein, warum etwa Bugcrowd so rabiat gegen nicht autorisierte Veröffentlichungen vorgeht. Es bringt der Branche jetzt aber eine Menge Kritik ein.


(ju)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.