Abo
  • Services:
Anzeige
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern

Auch viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte - von Kühlschränken bis zu Spielzeug - konfrontiert aber immer mehr Unternehmen mit IT-Security-Herausforderungen, die diese in einer oft langen Firmengeschichte noch nicht kannten. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt, der gehackte Spielzeughersteller Vtech hat bislang noch nicht auf das Datenleck im Unternehmen reagiert. Nicht zuletzt Firmen im Security-Bereich selbst wie Fireeye haben Probleme in ihrem Umgang mit Sicherheitsforschern. Sie haben etwa eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in Fireeye-Produkten gefunden hatte - und verbat ihnen damit, über Details der Fireeye-Architektur zu sprechen.

20.000 Sicherheitsforscher auf der Seite

Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von Hackerone geschlossen worden sein. Insgesamt wurden ausweislich der Hackerone-Webseite 5,4 Millionen US-Dollar an Bounties ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.

Sicherheitsforscher können auf Hackerone zunächst unter Pseudonym agieren - sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich einen Bug Bounty bezahlt - zu Abrechnungszwecken. Hackerone übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein - die Haupteinnahmequelle des Unternehmens.

Anzeige

Große Kunden und kleinere Projekte

Auf der Unternehmensseite hat Hackerone derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie Owncloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken einen Bug Bounty aus. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf Hackerone, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Bounties sie auszahlen wollen. Das war in der Anfangsphase noch anders - da entschied ein Hackerone-Expertenteam, wie viel Geld eine Schwachstelle wert sein soll.

Twitter zahlt für eine Remote-Code-Execution auf der Plattform 15.000 US-Dollar oder mehr - auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium zahlte vor kurzem für einen erfolgreichen Jailbreak für iOS 9 sogar 1 Million US-Dollar. Zu bedenken ist, dass der Schwarzmarkt für Sicherheitsforscher mit mehr Risiken verbunden ist - aber eben auch mit höheren Gewinnen.

Doch wie sehen die Kunden eigentlich die Plattform? Wir haben mit Lukas Reschke von Owncloud gesprochen - das Open-Source-Projekt betreibt seit Herbst ein Bounty-Programm über Hackerone. "Hackerone war für uns einfach der nächste logische Schritt, um die Sicherheit noch weiter zu verbessern. Weiterhin vermittelt es nach draußen die Nachricht: 'Wir nehmen Sicherheit ernst'", sagt er. Doch für viele Unternehmen und Projekte ist die Masse der eingehenden Security-Reports eine große Herausforderung. Insbesondere kleinere Projekte können damit schnell überfordert sein. Außerdem werden immer wieder Fehler gemeldet, die im Design eines Projekts angelegt sind oder außerhalb des Programms liegen.

Das Trigger-Feature filtert Bugberichte vor

Um auf diese Herausforderung zu reagieren, hat Hackerone das sogenannte Trigger-Feature eingeführt. Damit können Bugreports nach bestimmten Stichworten durchsucht werden - wenn darin zum Beispiel die Beschreibung von Schwachstellen enthalten ist, die außerhalb des Programms liegen, erscheint eine Warnung. Nutzer können den Bericht dann trotzdem manuell abschicken, doch das Feature dürfte Unternehmen und Projekten die Sortierung und Sichtung von Bugreports deutlich erleichtern. "Wir können Trigger setzen auf bestimmte Begriffe und damit Aktionen verbinden wie 'Wenn jemand das Wort SPF erwähnt, dann zeige erstmal eine Infobox mit einer Standardantwort.' Der Reporter kann dann entscheiden, ob er den Report wirklich einreichen will", sagte Lukas Reschke von Owncloud im Gespräch mit Golem.de.

 Hackerone: Raus mit den BugsEin erfolgreiches Programm muss nicht unbedingt Bounties auszahlen 

eye home zur Startseite
Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Anzeige

Stellenmarkt
  1. Ruhrbahn GmbH, Essen
  2. Deloitte, verschiedene Standorte
  3. IFA Group, Haldensleben
  4. über Duerenhoff GmbH, Bayreuth


Anzeige
Spiele-Angebote
  1. (-5%) 47,49€
  2. (-33%) 9,99€
  3. (-53%) 6,99€

Folgen Sie uns
       


  1. Nintendo Labo

    Switch plus Pappe

  2. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  3. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  4. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  5. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  6. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  7. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  8. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  9. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  10. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild
  3. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Backups sind nie ganz aktuell

    SJ | 06:37

  2. Link sperren nicht so hilfreich

    hyperlord | 06:32

  3. Re: Auch WhatsApp?

    dNsl9r | 06:32

  4. Re: Sieht interessant aus

    bobb | 06:22

  5. Re: gibt's irgendwo besseres als 400/50 für 4,99...

    trundle | 06:21


  1. 00:02

  2. 19:25

  3. 19:18

  4. 18:34

  5. 17:20

  6. 15:46

  7. 15:30

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel