Quellcode-Panne bei Präsentations-Tool Prezi

Mit Fanartikeln wollte Prezi einen Sicherheitsforscher abspeisen, dem es gelang, mit öffentlich zugänglichen Daten auf die Kronjuwelen des Unternehmens zuzugreifen.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Prezi rief im Oktober ein Bug-Bounty-Programm ins Leben, das Sicherheitsforscher für vertraulich gemeldete Schwachstellen in seiner Präsentations-Software belohnt. Diesem Aufruf ist auch der Pentester Shubham Shah gefolgt, der nach kurzer Zeit fette Beute machte: Es gelang ihm, auf das Repository des Unternehmens zuzugreifen, in dem der Quellcode von Prezi lagert. Das ist insofern problematisch, als dass es sich bei Prezi um ein kommerzielles Closed-Source-Projekt handelt. Der Zugriff gelang Shah über Zugangsdaten, die einer der Prezi-Entwickler in einem öffentlich zugänglichen Bitbucket-Repository abgelegt hatte.

Der Sicherheitsforscher hat Prezi eigenen Angaben unmittelbar über das Sicherheitsproblem informiert, woraufhin das Unternehmen die Zugangsdaten änderte. Nachdem einige Tage Funkstille herrschte, erkundigte sich Shah nach dem Status seiner Einreichung und erhielt darauf eine ziemlich unerfreuliche Antwort: Der betroffene Server würde nicht an dem Bug-Bounty-Program teilnehmen. Ferner habe er ohnehin gegen die Teilnahmebedingungen verstoßen, indem er sich mit den gefundene Zugangsdaten einloggte. Als Trostpflaster stellte Prezi dem Forscher Kaffeebecher und T-Shirts in Aussicht, was er jedoch ablehnte.

Shah machte seinem Ärger in seinem Blog Luft, indem er den gesamten Schriftwechsel mit Prezi veröffentlichte. Kurz darauf änderte das Unternehmen seine Meinung und teilte dem Forscher mit, dass er nun im Rahmen des Bug Bounty Program mit einer Geldprämie belohnt werden soll. Ferner habe man den Vorfall zum Anlass genommen, die Teilnahmebedingungen zu überdenken. Man werde nun auch Schwachstellen-Entdecker belohnen, die Sicherheitsprobleme jenseits der in den Teilnahmebedingungen aufgeführten Subdomains einreichen. Die weiteren Details findet man in dem Blog-Eintrag A Bug in the Bugbounty. (rei)