Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

Auch viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte - von Kühlschränken bis zu Spielzeug - konfrontiert aber immer mehr Unternehmen mit IT-Security-Herausforderungen, die diese in einer oft langen Firmengeschichte noch nicht kannten. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt, der gehackte Spielzeughersteller Vtech hat bislang noch nicht auf das Datenleck im Unternehmen reagiert. Nicht zuletzt Firmen im Security-Bereich selbst wie Fireeye haben Probleme in ihrem Umgang mit Sicherheitsforschern. Sie haben etwa eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in Fireeye-Produkten gefunden hatte - und verbat ihnen damit, über Details der Fireeye-Architektur zu sprechen.

20.000 Sicherheitsforscher auf der Seite

Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von Hackerone geschlossen worden sein. Insgesamt wurden ausweislich der Hackerone-Webseite 5,4 Millionen US-Dollar an Bounties ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.

Sicherheitsforscher können auf Hackerone zunächst unter Pseudonym agieren - sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich einen Bug Bounty bezahlt - zu Abrechnungszwecken. Hackerone übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein - die Haupteinnahmequelle des Unternehmens.

Anzeige

Große Kunden und kleinere Projekte

Auf der Unternehmensseite hat Hackerone derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie Owncloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken einen Bug Bounty aus. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf Hackerone, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Bounties sie auszahlen wollen. Das war in der Anfangsphase noch anders - da entschied ein Hackerone-Expertenteam, wie viel Geld eine Schwachstelle wert sein soll.

Twitter zahlt für eine Remote-Code-Execution auf der Plattform 15.000 US-Dollar oder mehr - auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium zahlte vor kurzem für einen erfolgreichen Jailbreak für iOS 9 sogar 1 Million US-Dollar. Zu bedenken ist, dass der Schwarzmarkt für Sicherheitsforscher mit mehr Risiken verbunden ist - aber eben auch mit höheren Gewinnen.

Doch wie sehen die Kunden eigentlich die Plattform? Wir haben mit Lukas Reschke von Owncloud gesprochen - das Open-Source-Projekt betreibt seit Herbst ein Bounty-Programm über Hackerone. "Hackerone war für uns einfach der nächste logische Schritt, um die Sicherheit noch weiter zu verbessern. Weiterhin vermittelt es nach draußen die Nachricht: 'Wir nehmen Sicherheit ernst'", sagt er. Doch für viele Unternehmen und Projekte ist die Masse der eingehenden Security-Reports eine große Herausforderung. Insbesondere kleinere Projekte können damit schnell überfordert sein. Außerdem werden immer wieder Fehler gemeldet, die im Design eines Projekts angelegt sind oder außerhalb des Programms liegen.

Das Trigger-Feature filtert Bugberichte vor

Um auf diese Herausforderung zu reagieren, hat Hackerone das sogenannte Trigger-Feature eingeführt. Damit können Bugreports nach bestimmten Stichworten durchsucht werden - wenn darin zum Beispiel die Beschreibung von Schwachstellen enthalten ist, die außerhalb des Programms liegen, erscheint eine Warnung. Nutzer können den Bericht dann trotzdem manuell abschicken, doch das Feature dürfte Unternehmen und Projekten die Sortierung und Sichtung von Bugreports deutlich erleichtern. "Wir können Trigger setzen auf bestimmte Begriffe und damit Aktionen verbinden wie 'Wenn jemand das Wort SPF erwähnt, dann zeige erstmal eine Infobox mit einer Standardantwort.' Der Reporter kann dann entscheiden, ob er den Report wirklich einreichen will", sagte Lukas Reschke von Owncloud im Gespräch mit Golem.de.

 Hackerone: Raus mit den BugsEin erfolgreiches Programm muss nicht unbedingt Bounties auszahlen 

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. Dataport, Hamburg
  2. Bundesdruckerei GmbH, Berlin
  3. Hornetsecurity GmbH, Hannover
  4. HDPnet GmbH, Heidelberg


Anzeige
Top-Angebote
  1. 11,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. 299,00€
  3. 299,00€

Folgen Sie uns
       


  1. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  2. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  3. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  4. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  5. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  6. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  7. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  8. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  9. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  10. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Händler haben es nicht anders verdient

    JouMxyzptlk | 20:20

  2. Re: 1400W... für welche Hardware?

    Stefres | 20:07

  3. Re: wie hätte sich auch was verbessern sollen?

    Andre_af | 19:57

  4. Re: Unix, das Betriebssystem von Entwicklern, für...

    Dadie | 19:47

  5. Re: Marketing scheint bei Unity ein besonders...

    Squirrelchen | 19:46


  1. 18:10

  2. 10:10

  3. 09:59

  4. 09:00

  5. 18:58

  6. 18:20

  7. 17:59

  8. 17:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel