Report: Starbucks reagiert nach einer Stunde auf gemeldete Sicherheitslücken

Die Betreiber der Bug-Bounty-Plattform HackerOne haben einen Report mit Infos und Zahlen zu von Sicherheitsforschern gemeldeten Schwachstellen in Hard- und Software veröffentlicht. Beispielsweise Airbnb und Twitter nutzen die Plattform für öffentliche Programme, damit Sicherheitsforscher Probleme melden können. Für den Richtlinien entsprechend gemeldete Lücken zahlen die Firmen Prämien.

Die besten der Besten

Dem Report zufolge hat bislang Verizon Media mit mehr als 4 Millionen US-Dollar den höchsten Gesamtbetrag ausgezahlt. Das Bug-Bounty-Programm existiert seit Anfang 2014. Seitdem haben sie in Zusammenarbeit mit verschiedenen Sicherheitsforschen mehr als 5000 Sicherheitsprobleme gelöst.

PayPal hat mit 30.000 US-Dollar bislang die höchste Prämie für eine Sicherheitslücke gezahlt. Dabei handelt es sich in der Regel um Schwachstellen, die Angreifer ohne Anmeldung über das Internet zur Ausführung von Schadcode ausnutzen können. Befindet sich ein Angreifer in so einer Position, könnte er beispielsweise einen Web-Server komplett unter seine Kontrolle bringen. Sogenannte Remote-Code-Execution-Lücken sind die gefährlichsten Sicherheitslücken.

Der Anbieter der E-Commerce-Software Shopify zahlt durchschnittlich nach zwei Tagen die Prämien aus und führt damit die Rangliste in diesem Bereich an. Zum Vergleich: GitLab benötigt dafür im Schnitt drei Monate. Starbucks reagiert verlgeichsweise flink auf gemeldete Schwachstellen und gibt durchschnittlich bereits nach einer Stunde Feedback.

Lukrative Bug-Jagd

Anfang 2018 veröffentlichte HackerOne einen Bericht der aufzeigte, dass fähige White-Hat-Hacker mit den ausgeschriebenen Preisgeldern durchschnittlich 2,7 Mal so viel wie angestellte Softwareentwickler aus demselben Herkunftsland verdienen können. (des)