Open Bug Bounty

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Open Bug Bounty ist eine nicht kommerzielle, offene Plattform für unabhängige Sicherheitsforscher zur verantwortungsbewussten Offenlegung von Sicherheitslücken, wie Cross-Site-Scripting und ähnlichem, die von den Experten auf Websites mithilfe nicht eindringender Sicherheitstesttechniken entdeckt wurden.[1] Die Sicherheitsspezialisten können je nach gefundener Sicherheitslücke und betroffener Website selbst entscheiden, ob sie die Details der Sicherheitsanfälligkeit innerhalb von 90 Tagen nach Einreichung der Sicherheitsanfälligkeit veröffentlichen oder ob sie diese nur den Betreibern der Website mitzuteilen. Es wird erwartet, dass die Betreiber der betroffenen Website die Entdecker für die Erstellung ihrer Berichte belohnen.

Ziel der Plattform[Bearbeiten | Quelltext bearbeiten]

Im Gegensatz zu kommerziellen Bug-Bounty-Programmen ist Open Bug Bounty ein nicht kommerzielles Projekt und muss weder von den Sicherheitsexperten noch von den Website-Betreibern bezahlt werden. Jede Prämie ist eine Frage der Vereinbarung zwischen dem Entdecker und den Betreibern der Website. Heise.de sieht in dem Projekt das Potenzial, die Website als Mittel zur Erpressung von Website-Betreibern zu nutzen. Die Drohung könnte sein, dass wenn keine Prämie (Kopfgeld) gezahlt wird, die Schwachstelle öffentlich gemacht wird. Heise.de berichtete, jedoch auch, dass Open Bug Bounty dies verbietet.[2]

Open Bug Bounty wurde 2014 von privaten Personen ins Leben gerufen und hatte bis Februar 2017 bereits 100.000 Sicherheitslücken registriert, von denen 35.000 behoben wurden.[3] Das Projekt entstand aus der Website XSSPosed, einem Archiv von Cross-Site-Scripting-Schwachstellen.[4]

Im Februar 2018 informierte die Plattform darüber, dass 100.000 Schwachstellen mithilfe des koordinierten Offenlegungsprogramms auf der Grundlage der ISO 29147-Richtlinien behoben werden konnten.[5]

Bis Ende 2019 meldete die Plattform 272.020 behobene Sicherheitslücken mithilfe des koordinierten Offenlegungsprogramms auf der Grundlage der ISO 29147-Richtlinien.[6]

Am 10. September 2020 steht der gleiche Zähler bereits auf über 369.000 behobenen Sicherheitslücken.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Open Bug Bounty: 100,000 fixed vulnerabilities and ISO 29147. In: Techworm. Abgerufen am 19. Februar 2018. 
  2. Open Bug Bounty: Sicherheitslücken gegen Prämie (de-DE). In: Heise Security, 12. Januar 2017. Abgerufen am 4. Januar 2018. 
  3. Open Bug Bounty – the alternative crowd security platform for security researchers. In: TechWorm, 14. Februar 2017. Abgerufen am 21. Dezember 2017. 
  4. XSSPosed launches Open Bug Bounty programme for web flaws (en). In: SC Media UK, 6. Juli 2015. Abgerufen am 21. Dezember 2017. 
  5. Not-for-profit Open Bug Bounty announces 100K fixed vulnerabilities. In: SC Media. Abgerufen am 23. Februar 2018. 
  6. Brief Recap of Open Bug Bounty’s Record Growth in 2019. In: openbugbounty.org, 16. Januar 2020. Abgerufen am 27. Juli 2019.