Open Bug Bounty: Eine Million Sicherheitslücken im Web behoben
Eine offene Plattform für das Offenlegen von Sicherheitslücken im Web hat einen Meilenstein erreicht. Open Bug Bounty verzeichnet über 1,3 Mio. Entdeckungen.
Für Webentwickler weltweit ist es eine nützliche Hilfe: Das nicht kommerzielle Projekt hat jetzt mit einer Million von der Community entdeckter und daraufhin behobener Sicherheitslücken im Web einen großen Meilenstein erreicht. Insgesamt haben die über 31.000 Sicherheitsforscher 1,388 Millionen Entdeckungen gemeldet.
Als heise online das erste Mal im Jahr 2017 über Open Bug Bounty berichtete, war die Plattform knapp zweieinhalb Jahre alt und konnte bereits über 32.000 entdeckte Sicherheitslücken vorweisen. Kurioserweise war es ein Hinweis auf ein XSS-Problem auf heise.de, das die Kollegen seinerzeit auf das bis dahin noch kleine Projekt aufmerksam machte.
Viele bekannte Namen
Seither hat die Plattform zur Behebung von Schwachstellen auf kleinen, aber auch großen, namhaften Websites beigetragen. Bekannte Namen wie Ikea, Philips, eBay und Yamaha sind darunter zu finden. Andere wie Lidl Digital, A1 Telekom Austria und Drupal haben auf der Plattform Open Bug Bounty-Programme gestartet und ermuntern dazu, ihre Websites zu testen.
Im Juni 2014 wurde die Website von einer Gruppe unabhängiger Sicherheitsforscher als gemeinnützige Plattform gegründet, um Sicherheitsforscher und Websitebetreiber auf eine transparente und respektvolle Weise zusammenzubringen. Die Ehrenamtlichen zahlen nach eigenen Angaben die Betriebskosten der Website selbst und überprüfen neue Beiträge in ihrer Freizeit.
Fairness gegenüber betroffenen Websites
Entdeckungen werden nach dem Standard ISO 29147 gemeldet und behandelt. Dadurch werde sichergestellt, dass die Administratoren der betroffenen Website in Kenntnis gesetzt werden, um reagieren zu können. Entdecker von Schwachstellen können frei entscheiden, ob sie diese nur den Betreibern der Website mitteilen oder ob diese 90 Tage nach Einreichung publik gemacht werden.
Herkömmliche Penetrationstests und Schwachstellenscans seien lediglich die Grundpfeiler der Anwendungssicherheit, sagt ein Sprecher des Projekts dem App Developer Magazine. Open Bug Bounty versammele Sicherheitsforscher mit unterschiedlichen Hintergründen und Erfahrungen, die auch Schwachstellen entdecken, die klassische Verfahren nicht aufdecken.
Mindestens ein Dankeschön
Diejenigen, auf deren Websites Sicherheitslücken entdeckt wurden, ermuntern die Verantwortlichen des Projekts, zumindest Danke zu sagen oder sogar dem Entdecker eine kleine Belohnung zukommen zu lassen. Das unterscheidet Open Bug Bounty von kommerziellen Bounty-Programmen wie von Google, die gezielt damit werben, Belohnungen auszuzahlen.
Mit Blick auf den Datenschutz und damit die Tests keine Schäden verursachen, akzeptiert die Plattform nur Cross-Site-Scripting, CSRF und ähnliche Sicherheitslücken.
(mki)
