Abo
  • Services:
Anzeige
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de (Bild: Hauke Gierow/Golem.de)

Bugcrowd: Hacker und Pentester auf Bestellung

Kymberlee Price von Bugcrowd im Gespräch mit Golem.de
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de (Bild: Hauke Gierow/Golem.de)

Tesla hat eins. GM hat eins. Und jetzt sogar das Pentagon. Doch nicht für alle Unternehmen sind offene Bug-Bounty-Programme die richtige Wahl, wie Kymberlee Price von der Sicherheitsplattform Bugcrowd im Gespräch mit Golem.de sagt.
Von Hauke Gierow

"Viele Unternehmen haben nicht das Geld, ein eigenes IT-Security-Team aufzustellen. Oft brauchen sie aber auch nicht den einen Hacker in Vollzeit - sondern vielleicht fünf Prozent seiner Zeit", sagt Kymberlee Price im Gespräch mit Golem.de. Price ist Senior Director for Researcher Operations bei Bugcrowd. Das heißt: Sie ist verantwortlich dafür, 25.000 Sicherheitsforscher auf die richtigen Sicherheitsprogramme verschiedener Firmen zu verteilen.

Anzeige

"Ein Bounty-Programm ist eigentlich nichts weiter als die Verlängerung eines guten internen Umgangs mit Sicherheitslücken", sagt Price, die vor ihrer Tätigkeit für Bugcrowd für Microsoft und Blackberry gearbeitet hat. Bei Blackberry war sie für die Kommunikation mit externen Hackern und Sicherheitsforschern zuständig. Ein Bug-Bounty-Programm hatte das Unternehmen damals wie heute nicht. Das sei aber auch nicht unbedingt notwendig. "Ein Bounty-Programm ist nicht für jedes Unternehmen das Richtige." Viele potenzielle Sicherheitsbedrohungen ließen sich durch gezielte, tiefe Analysen wie Code-Audits oder Pentesting deutlich besser ausmachen.

Pentesting statt nur Bug-Bounties

Bugcrowd wurde im Jahr 2012 gegründet, das Unternehmen will mehr Firmen einen Zugang zu unabhängigen Sicherheitsforschern geben. Anders als bei Hacker One liegt der Fokus nicht auf Bug-Bounty-Programmen, sondern auf komplexeren Analysen von Hardware und Software unter bestimmten Bedingungen. Das Unternehmen hat seinen Hauptsitz in San Francisco, in einem niedrigen Backsteinhaus. Wie in einem Tech-Startup üblich, gibt es einen mit Softdrinks und Frapuchinos gut gefüllten Kühlschrank.

Wenn ein Unternehmen ein bestimmtes Programm durchführen will, stellt das Bugcrowd-Team auf Wunsch ein Team aus Hackern aus der Datenbank zusammen. Dabei wird berücksichtigt, wie aktiv die Personen in der Vergangenheit waren und ob sie erfolgreich Sicherheitslücken gefunden haben. "Forscher bekommen auf unserer Plattform Kudos-Punkte, wenn sie Berichte abliefern", erklärt Price.

Wer zu viele Duplikate liefert, wird bestraft

Wer mehr Kudos-Punkte hat, der wird auch eher in ein Programm eingeladen. Damit soll die Crowd zu einer dauerhaften und aktiven Mitarbeit bewegt werden. Diese Kudos-Punkte sind völlig unabhängig von gezahlten Bounties, auch für Duplikate können Teilnehmer diese Punkte bekommen. Wer allerdings nur Duplikate und falsche Berichte einreicht, bekommt Punkte abgezogen.

Neben den Programmen, die von Bugcrowd gemanagt werden, gibt es Unternehmen, die dies selbst tun, und nur die Plattform und den Zugang zu den rund 25.000 Hackern nutzen. Auf der Webseite gibt es zahlreiche öffentliche Programme, von großen Unternehmen wie Tesla bis hin zu dem Open-Source-Whistleblowing-Projekt Securedrop. Nicht alle Programme geben monetäre Anreize, bei vielen gibt es nur Kudos-Punkte.

Nur der erste Finder bekommt Geld

Für die Unternehmen praktisch: Nur wer eine Sicherheitslücke als erster findet, bekommt auch Geld. "Sie bezahlen nicht für den Versuch, sondern für Ergebnisse", schreibt das Unternehmen auf seiner Webseite. Die Bugs werden nach verschiedenen Kategorien eingeordnet, die dann auch die gezahlte Prämie bestimmen. Hier wurden die Kriterien vor kurzem überarbeitet, damit Teilnehmer der Programme einfacher einschätzen können, wie viel Belohnung sie erwarten können.

Sind Bug-Bounties schädlich für Pentester? 

eye home zur Startseite
yoyoyo 06. Apr 2016

Auch den Besten passieren Fehler oder es geht einem mal komplett ein Vektor ab. Es kann...

picaschaf 05. Apr 2016

:D Also ein Darknet musst du dafür nicht bemühen, du willst doch ordentliche Arbeit und...



Anzeige

Stellenmarkt
  1. Freie und Hansestadt Hamburg - Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. HERMA GmbH, Filderstadt
  3. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  4. Scheidt & Bachmann GmbH, Mönchengladbach bei Düsseldorf


Anzeige
Top-Angebote
  1. 133,95€ (Vergleichspreis ab 181,90€)
  2. 79,90€ statt 124,90€
  3. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: Konsolenevolution ist besser als echte ps5

    t3st3rst3st | 00:25

  2. Re: Überschrift hat mich verwundert.

    sofries | 00:22

  3. @Nachtrag

    Lord Gamma | 00:20

  4. Re: Verhältnismäßigkeit beim Preis

    evilgoto | 00:07

  5. Re: Autos, gibts das noch?

    Axido | 00:05


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel