Dropbox unterstützt unabhängige Sicherheitsforscher

Dropbox nimmt sich vor, unabhängige Sicherheitsforscher ab sofort mehr zu motivieren und zu schützen. Der Grundstein für eine neue Vertrauensbasis ist eine überarbeitete Vulnerability Disclosure Policy (VDP). Das sind Regeln, an die sich Sicherheitsforscher halten müssen, wenn sie Sicherheitslücken an beispielsweise einen Software-Entwickler melden wollen. In vielen Fällen sind diese Vorgaben jedoch restriktiv formuliert und Lückenfinder sind rechtlich oft nicht optimal geschützt. Die überarbeiteten Regeln stellt der Dropbox-Sicherheitschef Chris Evans in einem Blogbeitrag vor.

Evans ist der Gründer und ehemalige Chef von Googles Projcet Zero. Das ist ein Team aus renommierten Sicherheitsforschern, beispielsweise Tavis Ormandy, die schon unzählige Sicherheitslücken entdeckt und in Zusammenarbeit mit Betroffenen geschlossen haben.

Willkommen Sicherheitsforscher!

Die neue VDP versucht erkennbar, das Damokles-Schwert von Klagen etwa nach dem Computer Fraud and Abuse Act (CFAA) oder dem Digital Millennium Copyright Act (DCMA) zu entschärfen. Gleichzeitig appellieren sie an die Sicherheitsforscher, die neuen Vorgaben einzuhalten, um ein faires Miteinander sicherzustellen.

Darunter fällt etwa, dass Finder von Lücken Details zu Schwachstellen erst veröffentlichen, nachdem Dropbox Zeit hatte, die Lücke zu schließen (Responsible Disclosure). Im gleichen Atemzug weist Evans auch darauf hin, dass Dropbox gemeldete Probleme in einem überschaubaren Zeitraum lösen muss.

Evans ruft andere Unternehmen und Entwickler dazu auf, sich ein Beispiel an der neuen VDP von Dropbox zu nehmen. Er betont, dass ihre überarbeitete VDP frei kopierbar ist. Die Richtlinien kann man in Gänze auf der Bug-Bounty-Plattform Hackerone abrufen. (des)