Open Bug Bounty: Sicherheitslücken gegen Prämie

Das nicht-kommerzielle Projekt openbugbounty.org bietet Sicherheitsexperten eine Plattform, Schwachstellen in beliebigen Webseiten zu melden. Die Betreiber akzeptieren dabei Meldungen, ohne dass der Seitenbetreiber dem zustimmen oder die Hacker dazu einladen muss. Das Projekt gibt es schon seit einer ganzen Weile. Aufmerksam geworden ist heise Security darauf, als kurz vor Weihnachten jemand ein XSS-Problem auf heise.de über das Portal meldete.

Geprüfte Lücken

Damit ist heise online durchaus in guter Gesellschaft, da dem Portal auch Lücken in den Webangeboten von Paypal, Microsoft, Sony, Oracle, Sony, Redhat oder Twitter gemeldet wurden. Die Betreiber der Seite prüfen nach eigenen Angaben jede Meldung. Erst wenn sich die Lücke verifizieren lässt, nehmen sie diese in die öffentlich einsehbare Liste auf und informieren die Administratoren der betroffenen Webseiten. Bei Heise geschah dies mit einer E-Mail, die beinahe im Spam-Ordner gelandet wäre:

From: OpenBugBounty.org Portal <openbugbounty@openbugbounty.org>
To: security@heise.de
Subject: heise.de Security Vulnerability Notification | Important

Die Benachrichtigungs-Mail enthielt in unserem Fall keine konkreten Informationen zur Schwachstelle sondern lediglich einen Verweis auf das Profil des Entdeckers mit der Bitte um Kontaktaufnahme. Die gestaltete sich unproblematisch: Der Entdecker der Lücke entpuppte sich als ein freundlicher Hacker namens "Pedro" aus Südamerika, der bereits über 1000 XSS-Lücken eingereicht hatte. Er lieferte uns auf unsere Nachfrage per Mail einen Demo-Link zu einem Cross-Site-Scripting-Problem, das wir auch direkt nachvollziehen konnten. Unsere Web-Admins fixten das noch am gleichen Tag, worüber sich der Hacker sehr erfreut zeigte.

Prämie oder Erpressung?

Das Bounty, also eine Prämie handeln die beiden Parteien bei Open Bug Bounty untereinander aus. Anders als Plattformen wie hackerone.com oder bugcrowd.com sind die Betreiber der Plattform keine Mittler und verlangen auch keinen Anteil. Was im Fall der XSS-Lücke auf heise.de auch schwierig geworden wäre: Pedro fragte lediglich höflich, ob Heise das Melden solcher Lücken möglicherweise durch Devotionalien oder Swag belohnt. Er hat inzwischen einen c't-Thermobecher in seiner Kollektion.

Der Ansatz von Open Bug Bounty mutet im Vergleich zu den kommerziellen Plattformen, auf denen die Ausrichter der Bountys die Regeln vorgeben, etwas anarchistisch an. Die anonymen Macher der Plattform erklären dies damit, dass geschlossene, also von einzelnen Unternehmen ausgerufene Bug-Prämien, oftmals nicht funktionieren. Daher der offene, transparente Ansatz, der es den Hackern überlässt, ob sie die Schwachstelle wie Pedro vertraulich (Coordinated Disclosure) an den betroffenen Seitenbetreiber melden – oder den Weg der Full Disclosure wählen und alle technischen Details der Lücke direkt auf Open Bug Bounty veröffentlichen.

Problematisch beim Melden von Sicherheitslücken ist natürlich die latente Möglichkeit, die betroffenen Seitenbetreiber zu erpressen. Die Macher der Bug-Plattform erklären, dass sie derlei Aktivitäten nicht tolerieren und nach diesbezüglichen Hinweisen die Informationen des Erpressers von der Seite löschen werden. Neben dem Weg der Schwachstellen-Veröffentlichung bietet Open Bug Bounty Sicherheitsforschern übrigens auch private Einsendungen. Hierbei sind die Details zur Lücke nach der Prüfung durch die Plattform-Betreiber nur über einen unter Verschluss gehaltenen Link sichtbar. Damit könne der Entdecker dann später dokumentieren, dass er eine Lücke zu einem bestimmten Zeitpunkt bereits nachgewiesen hatte, erklären die Betreiber den Sinn und Zweck dieser Option. (ju)