Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Rauswurf bei Bug-Bounty-Plattform wegen Veröffentlichung

Weil er keinen Proof-of-Concept lieferte, nahm Bugcrowd den Report einews Krypto-Experten nicht an. Auf seine Veröffentlichung folgte der Rauswurf.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen

(Bild: SIMON SHIM / Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Ein aktueller Fall wirft ein schlechtes Licht auf die Branche der Bug-Bounty-Plattformen. Der Krypto-Experte mit dem Alias Soatok hatte eine Schwachstelle in der für Kryptografie wichtigen Bibliothek Javascript Big Number (JSBN) gefunden und bei Bugcrowd eingereicht. Er lieferte dabei nicht nur eine ausführliche Beschreibung des Problems sondern auch Hinweise, wie es zu beseitigen wäre.

Weil es viel zu viel Arbeit gemacht hätte, baute er jedoch keinen Proof-of-Concept-Exploit, der demonstriert hätte, wie man das Problem konkret ausnutzen könnte. Damit war die Einreichung für Bugcrowd unzureichend. Trotzdem gestattete Bugcrowd auch keine Veröffentlichung. Als Soatok dann den Maintainer der Bibliothek über einen öffentlichen Bug-Report auf Github auf das Problem hinwies, drohte Bugcrowd sehr nachhaltig damit, seinen Account zu sperren. Der ließ sich auf diese Machtspiele nicht ein, sondern hängte den Vorfall an die große Social-Media-Glocke und erklärt sein Vorgehen jetzt auch in dem lesenswerten Beitrag: When Soatok Used Bugcrowd - and Got Banned for Doing the Right Thing.

Disclosure auf Abwegen

Bug-Bounty-Plattformen sind angetreten, es Sicherheitsforschern leichter zu machen, ihre Funde an die Hersteller zu übermitteln und dafür auch noch Geld zu bekommen. Insbesondere versprachen sie Schutz vor der Verfolgung auf Grund von Anti-Hacker-Gesetzen, weil die Hersteller zur Teilnahme eine Safe-Harbour-Erklärung abgeben müssen.

Das Geschäftsmodell der Bug-Bounty-Plattformen beruht vor allem darauf, dass sie Firmen beim Abwickeln von Disclosure-Vorgängen und dem Auszahlen von Belohnungen unterstützen und dafür von diesen Firmen Geld bekommen. Eine wichtige Motivation der Firmen dabei ist, die Veröffentlichung von Sicherheitslücken wenn überhaupt dann kontrolliert ablaufen zu lassen. Das mag ein Grund dafür sein, warum etwa Bugcrowd so rabiat gegen nicht autorisierte Veröffentlichungen vorgeht. Es bringt der Branche jetzt aber eine Menge Kritik ein.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten