Open Bug Bounty ist eine Plattform, die Sicherheitsexperten ermöglicht, entdeckte Sicherheitslücken in beliebigen Websites zu melden. Es gilt das «Responsible Disclosure»-Prinzip, das heisst die entdeckten Sicherheitslücken werden vorläufig nicht veröffentlicht.
Nach eigenen Angaben überprüft Open Bug Bounty jede gemeldete Sicherheitslücke und benachrichtigt dann die betroffenen Website-Betreiber. Jede Benachrichtigung geht x-fach an standardmässige E-Mail-Adressen wie admin@…, contact@…, sales@…, support@… und webmaster@… (Beispiel).
Die benachrichtigten Website-Betreiber können die Sicherheitslücke beheben und sich beim Sicherheitsexperten bedanken, zum Beispiel mit einer Spende.
Was eigentlich eine gute Idee ist, wird leider von einzelnen schwarzen Schafen missbraucht. Ein aktuelles Beispiel ist André Calvinho:
Calvinho meldet via Open Bug Bounty tausende von angeblichen Cross-Site-Scripting (XSS)-Sicherheitslücken auf Websites (Open Bug Bounty-Profil, Sicherheitskopie). Für die Offenlegung der Sicherheitslücke verlangt Calvinho eine Spende:
«Unfortunately, I’m no longer disclosing the vulnerability details before a donation. Thus, I’ll be glad to share with you the details of the vulnerability in exchange of a donation.»
Begründung
«This is due the fact that I spend a lot of my time doing research, finding vulnerabilities in websites and after releasing the details of the vulnerability, most of website owners simply stop responding or even report when the vulnerability is fixed so I can change the status of the report to fixed. Even some website owners promise a donation and after the disclosure they fix the issue and stop answering.
I would be glad to provide the technical details prior to the donation (as it should be) but unfortunately I have no guarantee and I have already had bad experiences for doing it that way I hope you understand. Since this is a Bug Bounty platform, I would expect some kind of compensation for the work done.»
Calvinho bevorzugt für die «Spende» Bitcoin, akzeptiert aber auch Zahlungen via PayPal sowie in Form von digitalen Gütern wie beispielsweise Amazon-Gutscheinen oder Software-Lizenzen.
Erpressung statt freiwilliger Spende?
Das Vorgehen von Calvinho bezeichnen Laien als «Erpressung». Man kann sich ausserdem fragen, ob die Angriffe von Calvinho auf fremde Websites einen Hacking-Straftatbestand erfüllen.
In jedem Fall widerspricht das Vorgehen von Calvinho den Regeln von Open Bug Bounty (Sicherheitskopie):
«A website owner can express a gratitude to a researcher for reporting vulnerability in a way s/he considers the most appropriate and proportional to the researcher’s efforts and help.
We encourage website owners to say at least a ‹thank you› to the researcher or write a brief recommendation in the researcher’s profile. There is, however, absolutely no obligation or duty to express a gratitude in any manner. We promote positive, constructive and mutually respectful communications between website owners and security researchers.»
«On the platform, researchers get various honorary badges for quality of their submissions and the number of websites they helped to secure. We always encourage quality, not quantity of submissions.»
Calvinho verletzt nicht nur die Regeln von Open Bug Bounty. Er scheint auch kein qualifizierter Sicherheitsexperte zu sein, sondern – soweit ersichtlich – mit automatisierten Mitteln nach angeblichen XSS-Sicherheitslücken zu suchen.
Calvinho bestreit auf Nachfrage, die Regeln zu verletzen und verweist auf Diskussionen mit Open Bug Bounty:
«I already have discussed this with them. I am not violating the rules of OpenBugBounty, as I am not demanding any specific amount nor am I blackmailing anyone. I just recognition for my work.»
Empfehlungen gegen schwarze Schafe bei Open Bug Bounty
Qualifizierte Sicherheitsexperten legen entdeckte Sicherheitslücken – vorerst nur gegenüber den betroffenen Website-Betreibern – offen. Wenn es sich tatsächlich um eine relevante Sicherheitslücke handelt, ist eine Belohnung – auch mehr als ein Dankeschön – ohne Zweifel angebracht. Für ein solches Vorgehen ist das «Responsible Disclosure»-Prinzip sinnvoll und kann die Sicherheit insbesondere von Websites verbessern.
Schwarze Schafe wie André Calvinho hingegen wollen eine «Spende» erzwingen. Entsprechende Meldungen sollte man ignorieren und den Absender allenfalls an Open Bug Bounty melden. Open Bug Bounty verspricht eine «zero tolerance policy for any unethical or unlawful activities.» Das Versprechen ist Blick auf die tausenden von missbräuchlichen Meldungen, die allein André Calvinho generiert hat, allerdings unglaubwürdig.
Wer eine Sicherheitslücke auf seiner Website fürchtet, kann beispielsweise Detectify für eine Überprüfung nutzen. Das Angebot steht während 14 Tagen als Trial kostenlos zur Verfügung.
Siehe auch:
- Open Bug Bounty – Sicherheitslücken gegen Prämie (Heise Security)
- Is demanding a «donation» before disclosing vulnerabilities black hat behavior? (StackExchange)
Bild: Pixabay / TheDigitalArtist, medientypisches Klischeebild von einem Hacker, Public Domain-ähnlich.