Bug Bounty: Yahoo speist Forscher mit T-Shirts ab

Das zeigte ein Experiment, das die Schweizer Security-Firma High-Tech Bridge durchführte. Hier wollte man prüfen, in welcher Form große Web-Dienstleister, denen Millionen Nutzer ihre Daten anvertrauen, auf die Meldung von Sicherheitsproblemen reagieren. Während Anbieter wie Facebook und Google hier in der letzten Zeit recht professionell agierten, war über Yahoo vergleichsweise wenig bekannt.

Wie High-Tech Bridge berichtete, machte man sich in einem ersten Schritt daran, das Yahoo-Portal nach Sicherheitslücken zu durchleuchten - und wurde schnell fündig. Bereits nach 45 Minuten habe man die erste Cross-Site-Scripting (XSS)-Schwachstelle ausgemacht, hieß es. Auf die Übermittlung von Informationen reagierte man bei Yahoo sehr schnell: Es dauerte weniger als 24 Stunden, bis das Unternehmen reagierte.

Die Antwort fiel für die Sicherheits-Experten allerdings etwas enttäuschend aus. Man dankte für die Information, gab aber an, dass diese aber nicht honoriert werden könne, da jemand anderes bereits den gleichen Hinweis eingeschickt hatte. "Belege dafür, dass die Sicherheitslücke tatsächlich bereits von anderer Seite gemeldet wurde, gab es nicht", so die Security-Forscher.

Allerdings kann davon ausgegangen werden, dass dies stimmte - denn man machte sich auf die Suche nach weiteren Schwachstellen und wurde dafür dann durchaus belohnt. Immerhin drei weitere XSS-Lücken machte High-Tech Bridge nach eigenen Angaben ausfindig. Und diese waren durchaus kritisch: "Jede der gefundenen Lücken erlaubte es, jeden beliebigen @yahoo.com-E-Mail-Account zu kompromittieren", so der Bericht. Es genügte, einen speziell dafür gestalteten Link an die Nutzer zu schicken und darauf zu warten, dass sie ihn während ihrer Session im Web-Postfach anklicken.

Auch hier reagierte das Yahoo-Team wieder relativ schnell. Binnen 24 Stunden waren die Probleme beseitigt. Den Sicherheits-Forschern wurde gedankt und man ließ ihnen eine Belohnung zukommen. Diese fiel aber enttäuschend aus: Während andere Anbieter dieser Größe die Meldung solch kritischer Schwachstellen durchaus mit ansehnlichen Geldbeträgen honorieren, bekamen die Security-Forscher hier einen Gutscheincode in Höhe von 25 Dollar. Dieser kann ausschließlich im Yahoo Company Store eingelöst werden, über den T-Shirts, Tassen und Stifte mit dem Konzernlogo vertrieben werden.

An diesem Punkt habe man aufgehört, weiter nach Problemen zu suchen, hieß es. "Yahoo sollte vielleicht seine Beziehungen zu Sicherheits-Forschern überdenken", erklärte High-Tech Bridge-Chef Ilia Kolochenko. Solche Belohnungen, wie man sie hier erhielt, seien ein schlechter Witz - vor allem, wenn es um solche Informationen geht, mit denen man es hier zu tun hatte und die auf dem Schwarzmarkt zu sehr lukrativen Preisen verkauft werden können.