Open Bug Bounty bringt seit 2014 Tausende von Sicherheitsforschern mit Webseitenbetreibern zusammen. Dennoch ist Vorsicht geboten.
Über Open Bug Bounty, eine offene Plattform zur Verwaltung von Sicherheitslücken, haben Betreiber von über 3.300 Webseiten mehr als eine Million Schwachstellen beseitigen können. Und auch wenn der Dienst für viele Unternehmen einen Mehrwert darstellt und ihnen Zugang zu Tausenden von Sicherheitsforschern ermöglicht, kann zu viel Vertrauen eine neue Angriffsfläche schaffen.
Plattform macht über 3.300 Webseiten ein Stück sicherer
Die offene, kostenlose und von der Gemeinschaft betriebene Bug-Bounty-Plattform Open Bug Bounty hat am 27. Oktober einen neuen Meilenstein erreicht. Mehr als eine Million Sicherheitslücken haben die Nutzer des ISO 29147-kompatiblen Dienstes bis zu diesem Datum geschlossen. Das berichtet das App Developer Magazine. Zum Zeitpunkt der Erstellung dieses Artikels steht der Zähler im Webportal des Projekts bereits auf 1.016.945 behobenen Schwachstellen. Diese verteilen sich auf insgesamt 3.307 Webseiten.
Über Open Bug Bounty finden Betreiber von Webseiten und Online-Diensten mit Sicherheitsforschern von überall auf der Welt zusammen. Durch einen transparenten, fairen und koordinierten Austausch in Form von Ratschlägen und Unterstützung zur Beseitigung von Schwachstellen will das Projekt Webanwendungen für ihre Anwender immer besser und sicherer machen.
Die im Juni 2014 von einer Gruppe unabhängiger Sicherheitsforscher gegründete Non-Profit-Plattform zielt mitunter auf einen transparenten und respektvollen Umgang mit Schwachstellen ab, der für alle Beteiligten von Nutzen sein soll. Auch für Unternehmen wie A1 Telekom Austria und Drupal hostet Open Bug Bounty mitunter eigene Programme zur Abhandlung ihrer Sicherheitslücken. Über 20.000 Sicherheitsforscher mit all ihrem Wissen und ihren Erfahrungen stehen darüber zur Unterstützung bereit. Ein Erfahrungsschatz, auf den sicherlich die wenigsten kommerziellen Bug-Bounty-Programme zurückgreifen können.
Zu viel Vertrauen in Open Bug Bounty ist auch nicht gut
Laut einem Sprecher von Open Bug Bounty ist das Projekt häufig „eine wertvolle Bereicherung für das Sicherheitsprogramm von Unternehmen„. Denn wenn „Sicherheitsforscher mit unterschiedlichen Hintergründen und Erfahrungen Ihre Anwendungssicherheitstests ergänzen, kann dies zusätzliche Erkenntnisse bringen, die ungewöhnliche Kreativität und viel Zeit erfordern, um entdeckt zu werden.„
Dennoch warnt der Sprecher ebenso davor, der Plattform mit zu viel Vertrauen zu begegnen. „Wenn Sie zum Beispiel externe Sicherheitsforscher autorisieren, Ihr Produktionssystem zu testen, könnten diese auf sensible persönliche Daten oder Finanzinformationen zugreifen„, erklärt er unter Verweis auf geltende Datenschutzgesetze. Außerdem könne auch „das Gerät eines Forschers von Cyberkriminellen kompromittiert und die Informationen von den Bösewichten gestohlen werden.„
Und darauf hat letztendlich weder Open Bug Bounty noch das um Unterstützung bittende Unternehmen einen Einfluss. Denn auch Sicherheitsexperten sind nicht unfehlbar und können Hackern ebenso eine Angriffsfläche bieten. Zumal Cyberkriminelle ebenfalls gerne auf bewährte Methoden zurückgreifen, um ihre Vorgehensweisen zu optimieren.