Der finnische Programmierer Aapo Oksman erhielt 50.000 USD als Belohnung. Er ist Senior Security Specialist bei der IT-Sicherheitsfirma Nixu.
Bei hackerone.com, worüber auch das Bug Bounty-Programm von Sony läuft, erhielt der Coder aapo satte 50.000 US-Dollar. Eine derart hohe Summe zahlt der Betreiber vom Playstation Network nur an Hinweisgeber aus, die ihnen eine kritische Sicherheitslücke in der PS4 oder PS5 gemeldet haben. Eine solche Summe hat bislang nicht einmal TheFlow auf einen Schlag erhalten.
Inhalt der Meldung von aapo an Sony ist unbekannt
Leider ist nicht bekannt, was aapo Sony im Detail mitgeteilt hat. Es könnte eine kritische aber allgemeine Sicherheitslücke sein. Oder es betrifft die Jailbreaker-Community, weil es sich dabei um einen Kernel-Exploit und/oder Webkit-Exploit einer aktuellen Firmware-Version der Spielekonsolen handelt.
Bei Hackerone hat der finnische Programmierer Aapo Oksman bisher zahlreiche Lücken an Firmen wie AT&T, Epic Games, Mail.ru, Nord Security & Co. gemeldet. Doch dafür gab es aber keine vergleichbare hohe Belohnung. Auf den Playstation-Geräten hat er sich als Jailbreaker bisher auch keinen Ruf gemacht. Jetzt wird bei Reddit, GbaTemp und in diversen anderen Foren spekuliert, worin der Bug bestehen könnte.
Bei x.com (ehemals Twitter) weist der Betreiber des YouTube-Kanals Modded Warfare darauf hin, dass es in der Vergangenheit bei vergleichbar hohen Auszahlungen zu keiner Veröffentlichung des Exploits gekommen ist.
Es ist auch unklar, ob bei derart schwer wiegenden Lücken der Hinweisgeber möglicherweise ein NDA (Non Disclosure Agreement = Vertrag) unterschreiben muss, bevor man entlohnt wird. In dem Fall müsste aapo sogar eine hohe Geldstrafe bezahlen, sollte er die Lücke öffentlich machen. Dazu passt, dass er bisher weder bei LinkedIn noch beim Twitter-Nachfolger etwas zu diesem Thema geschrieben hat.
Da hilft wohl nur jegliches Update der Firmware vermeiden und hoffen, dass doch jemand aus der Jailbreaker-Community irgendwann einen Tipp zugesteckt bekommt. Sony wird die Sicherheitslücke von aapo, worin sie auch immer bestehen mag, sicher beim nächsten Firmware-Update beheben.
