Abo
  • Services:

Bug Bounty: Nextcloud zahlt bis zu 5.000 US-Dollar für Fehler

Sicherheitsprüfungen von Nextcloud können sich Hacker nun bezahlen lassen. Das erst wenige Wochen alte Unternehmen startet dafür ein Bug-Bounty-Programm, das vergleichsweise hohe Prämien für Open-Source-Software bietet.

Artikel veröffentlicht am ,
Nextcloud startet ein relativ hochdotiertes Bug-Bounty-Programm
Nextcloud startet ein relativ hochdotiertes Bug-Bounty-Programm (Bild: Nextcloud.com)

Nur wenige Tage nach der ersten Veröffentlichung der freien Serverplattform zur Dateisynchronisation von Nextcloud ist ein Bug-Bounty-Programm für das Projekt gestartet worden. Das heißt, dass sich Sicherheitsforscher und Hacker künftig das Auffinden von sicherheitsrelevanten Fehlern in dem Code bezahlen lassen können. Für eine Komplettübernahme des Servers, bei der Code ausgeführt werden kann, eine sogenannte Remote Code Execution (RCE), will Nextcloud 5.000 US-Dollar zahlen.

Stellenmarkt
  1. Bosch Gruppe, Waiblingen
  2. Schaeffler Technologies AG & Co. KG, Nürnberg

Für einen Zugriff auf Nutzerdaten an dem Mechanismus zur Authentifizierung des Servers vorbei sollen 2.000 US-Dollar gezahlt werden, für die Übernahme einer Nutzersitzung etwa per Cross-Site-Scripting (XSS) immerhin noch 750 US-Dollar. Für den Umgang mit gemeldeten Fehlern und zur Abwicklung der Zahlung nutzt Nextcloud die Plattform Hackerone.

Gute Erfahrung mit Hackerone

Nextcloud ist eine Abspaltung von Owncloud, die durch dessen Gründer Frank Karlitschek und einige Kernentwickler erst Anfang Juni dieses Jahres entstanden ist. Zu dem Nextcloud-Team gehört auch der zuvor bereits bei Owncloud für die Sicherheit zuständige Lukas Reschke. Dieser betreute auch das Bug-Bounty-Programm von Owncloud, für das ebenfalls Hackerone genutzt worden ist.

Der Geschäftsführer von Hackerone, Marten Mickos, zeigt sich erfreut darüber, wieder mit Reschke zusammenzuarbeiten. Dessen Erfahrung mit dem Bug-Bounty-Programm komme der Sicherheit von Nextcloud und damit seinen Kunden zugute, sagte Mickos. Laut dem für die Nextcloud-Kommunikation zuständigen Jos Poortvliet umfasst das nun für Nextcloud aufgelegte Programm zudem eine der höchsten Prämien, die derzeit für Open-Source Software-geboten würden. Zumindest im direkten Vergleich mit Owncloud sind die Prämien von Nextcloud beeindruckend. Die derzeit höchste ausgelobte Prämie von Owncloud ist 500 US-Dollar.



Anzeige
Hardware-Angebote
  1. 219,90€
  2. ab 225€

johnripper 17. Jun 2016

Das wird auch nicht besser werden. Nextcloud ist eine 1 zu 1 Weiterentwicklung von...


Folgen Sie uns
       


LG G8 Thinq - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das G8 Thinq vorgestellt. Das Smartphone kann mit Luftgesten gesteuert werden. Wir haben viele Muster in die Luft gemalt, aber nicht immer werden die Gesten korrekt erkannt.

LG G8 Thinq - Hands on (MWC 2019) Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
    Gesetzesinitiative des Bundesrates
    Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

    Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
    Von Moritz Tremmel

    1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
    2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
    3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

    Stadia ausprobiert: Um die Grafikoptionen kümmert sich Google
    Stadia ausprobiert
    Um die Grafikoptionen kümmert sich Google

    GDC 2019 Beim Ausprobieren und im Gespräch mit Entwicklern wird immer klarer: Stadia von Google ist als eigenständige Plattform zu verstehen und nicht als simpler Streamingdienst. Momentan kommt für das Bild noch der Codec VP9 zum Einsatz.
    Von Peter Steinlechner


        •  /