Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

Auch viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte - von Kühlschränken bis zu Spielzeug - konfrontiert aber immer mehr Unternehmen mit IT-Security-Herausforderungen, die diese in einer oft langen Firmengeschichte noch nicht kannten. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt, der gehackte Spielzeughersteller Vtech hat bislang noch nicht auf das Datenleck im Unternehmen reagiert. Nicht zuletzt Firmen im Security-Bereich selbst wie Fireeye haben Probleme in ihrem Umgang mit Sicherheitsforschern. Sie haben etwa eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in Fireeye-Produkten gefunden hatte - und verbat ihnen damit, über Details der Fireeye-Architektur zu sprechen.

20.000 Sicherheitsforscher auf der Seite

Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von Hackerone geschlossen worden sein. Insgesamt wurden ausweislich der Hackerone-Webseite 5,4 Millionen US-Dollar an Bounties ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.

Sicherheitsforscher können auf Hackerone zunächst unter Pseudonym agieren - sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich einen Bug Bounty bezahlt - zu Abrechnungszwecken. Hackerone übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein - die Haupteinnahmequelle des Unternehmens.

Anzeige

Große Kunden und kleinere Projekte

Auf der Unternehmensseite hat Hackerone derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie Owncloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken einen Bug Bounty aus. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf Hackerone, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Bounties sie auszahlen wollen. Das war in der Anfangsphase noch anders - da entschied ein Hackerone-Expertenteam, wie viel Geld eine Schwachstelle wert sein soll.

Twitter zahlt für eine Remote-Code-Execution auf der Plattform 15.000 US-Dollar oder mehr - auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium zahlte vor kurzem für einen erfolgreichen Jailbreak für iOS 9 sogar 1 Million US-Dollar. Zu bedenken ist, dass der Schwarzmarkt für Sicherheitsforscher mit mehr Risiken verbunden ist - aber eben auch mit höheren Gewinnen.

Doch wie sehen die Kunden eigentlich die Plattform? Wir haben mit Lukas Reschke von Owncloud gesprochen - das Open-Source-Projekt betreibt seit Herbst ein Bounty-Programm über Hackerone. "Hackerone war für uns einfach der nächste logische Schritt, um die Sicherheit noch weiter zu verbessern. Weiterhin vermittelt es nach draußen die Nachricht: 'Wir nehmen Sicherheit ernst'", sagt er. Doch für viele Unternehmen und Projekte ist die Masse der eingehenden Security-Reports eine große Herausforderung. Insbesondere kleinere Projekte können damit schnell überfordert sein. Außerdem werden immer wieder Fehler gemeldet, die im Design eines Projekts angelegt sind oder außerhalb des Programms liegen.

Das Trigger-Feature filtert Bugberichte vor

Um auf diese Herausforderung zu reagieren, hat Hackerone das sogenannte Trigger-Feature eingeführt. Damit können Bugreports nach bestimmten Stichworten durchsucht werden - wenn darin zum Beispiel die Beschreibung von Schwachstellen enthalten ist, die außerhalb des Programms liegen, erscheint eine Warnung. Nutzer können den Bericht dann trotzdem manuell abschicken, doch das Feature dürfte Unternehmen und Projekten die Sortierung und Sichtung von Bugreports deutlich erleichtern. "Wir können Trigger setzen auf bestimmte Begriffe und damit Aktionen verbinden wie 'Wenn jemand das Wort SPF erwähnt, dann zeige erstmal eine Infobox mit einer Standardantwort.' Der Reporter kann dann entscheiden, ob er den Report wirklich einreichen will", sagte Lukas Reschke von Owncloud im Gespräch mit Golem.de.

 Hackerone: Raus mit den BugsEin erfolgreiches Programm muss nicht unbedingt Bounties auszahlen 

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Dataport, Hamburg
  3. B. Braun Melsungen AG, Melsungen, Tuttlingen
  4. Landeshauptstadt München, München


Anzeige
Spiele-Angebote
  1. 24,99€
  2. 11,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Bodyhacking: Ich, einfach unverbesserlich
Bodyhacking
Ich, einfach unverbesserlich

  1. Re: sehr clever ... MS

    FreiGeistler | 21:45

  2. Demnächst gibt's noch die Viehklasse.

    TC | 21:44

  3. Re: Anscheinend gibt es keine gesetzlichen Vorgaben.

    pampernickel | 21:43

  4. Genau das ist das Problem

    Berner Rösti | 21:41

  5. Re: Halb-OT: Bloß kein handliches Gerät...

    DetlevCM | 21:39


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel