Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

Auch viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte - von Kühlschränken bis zu Spielzeug - konfrontiert aber immer mehr Unternehmen mit IT-Security-Herausforderungen, die diese in einer oft langen Firmengeschichte noch nicht kannten. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt, der gehackte Spielzeughersteller Vtech hat bislang noch nicht auf das Datenleck im Unternehmen reagiert. Nicht zuletzt Firmen im Security-Bereich selbst wie Fireeye haben Probleme in ihrem Umgang mit Sicherheitsforschern. Sie haben etwa eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in Fireeye-Produkten gefunden hatte - und verbat ihnen damit, über Details der Fireeye-Architektur zu sprechen.

20.000 Sicherheitsforscher auf der Seite

Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von Hackerone geschlossen worden sein. Insgesamt wurden ausweislich der Hackerone-Webseite 5,4 Millionen US-Dollar an Bounties ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.

Sicherheitsforscher können auf Hackerone zunächst unter Pseudonym agieren - sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich einen Bug Bounty bezahlt - zu Abrechnungszwecken. Hackerone übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein - die Haupteinnahmequelle des Unternehmens.

Anzeige

Große Kunden und kleinere Projekte

Auf der Unternehmensseite hat Hackerone derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie Owncloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken einen Bug Bounty aus. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf Hackerone, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Bounties sie auszahlen wollen. Das war in der Anfangsphase noch anders - da entschied ein Hackerone-Expertenteam, wie viel Geld eine Schwachstelle wert sein soll.

Twitter zahlt für eine Remote-Code-Execution auf der Plattform 15.000 US-Dollar oder mehr - auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium zahlte vor kurzem für einen erfolgreichen Jailbreak für iOS 9 sogar 1 Million US-Dollar. Zu bedenken ist, dass der Schwarzmarkt für Sicherheitsforscher mit mehr Risiken verbunden ist - aber eben auch mit höheren Gewinnen.

Doch wie sehen die Kunden eigentlich die Plattform? Wir haben mit Lukas Reschke von Owncloud gesprochen - das Open-Source-Projekt betreibt seit Herbst ein Bounty-Programm über Hackerone. "Hackerone war für uns einfach der nächste logische Schritt, um die Sicherheit noch weiter zu verbessern. Weiterhin vermittelt es nach draußen die Nachricht: 'Wir nehmen Sicherheit ernst'", sagt er. Doch für viele Unternehmen und Projekte ist die Masse der eingehenden Security-Reports eine große Herausforderung. Insbesondere kleinere Projekte können damit schnell überfordert sein. Außerdem werden immer wieder Fehler gemeldet, die im Design eines Projekts angelegt sind oder außerhalb des Programms liegen.

Das Trigger-Feature filtert Bugberichte vor

Um auf diese Herausforderung zu reagieren, hat Hackerone das sogenannte Trigger-Feature eingeführt. Damit können Bugreports nach bestimmten Stichworten durchsucht werden - wenn darin zum Beispiel die Beschreibung von Schwachstellen enthalten ist, die außerhalb des Programms liegen, erscheint eine Warnung. Nutzer können den Bericht dann trotzdem manuell abschicken, doch das Feature dürfte Unternehmen und Projekten die Sortierung und Sichtung von Bugreports deutlich erleichtern. "Wir können Trigger setzen auf bestimmte Begriffe und damit Aktionen verbinden wie 'Wenn jemand das Wort SPF erwähnt, dann zeige erstmal eine Infobox mit einer Standardantwort.' Der Reporter kann dann entscheiden, ob er den Report wirklich einreichen will", sagte Lukas Reschke von Owncloud im Gespräch mit Golem.de.

 Hackerone: Raus mit den BugsEin erfolgreiches Programm muss nicht unbedingt Bounties auszahlen 

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. LivingData GmbH, Landshut, Nürnberg
  2. Robert Bosch GmbH, Berlin
  3. IT Services mpsna GmbH, Herten
  4. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. 139€
  2. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  3. 349€ inkl. Abzug (Vergleichspreis 452€)

Folgen Sie uns
       


  1. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  2. FTTH

    CDU für Verkauf der Telekom-Aktien

  3. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  4. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  5. Fahrdienst

    London stoppt Uber, Protest wächst

  6. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  7. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  8. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  9. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  10. Die Woche im Video

    Schwachstellen, wohin man schaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Die letzte Meile

    plutoniumsulfat | 16:20

  2. Re: Kein Band 20

    TC | 16:12

  3. Bleiben denn die ganzen Dienste wie foodora?

    Analysator | 16:02

  4. Re: Vorher Diesel, jetzt E-Auto, das sind echt...

    azeu | 15:59

  5. Re: Interessant [...] ist immer die Kapazität des...

    Melkor | 15:58


  1. 15:18

  2. 13:34

  3. 12:03

  4. 10:56

  5. 15:37

  6. 15:08

  7. 14:28

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel