Bug Bounty: Yahoo speist Forscher mit T-Shirts ab

Hacker, Yahoo, Open Hack Day
Während die meisten großen Internet-Unternehmen inzwischen so genannte Bug-Bounty-Programme haben, um dafür zu sorgen, dass Informationen über Sicherheitslücken bei ihnen und nicht etwa bei Kriminellen landen, sieht dies bei Yahoo etwas anders aus.
Das zeigte ein Experiment, das die Schweizer Security-Firma High-Tech Bridge durchführte. Hier wollte man prüfen, in welcher Form große Web-Dienstleister, denen Millionen Nutzer ihre Daten anvertrauen, auf die Meldung von Sicherheitsproblemen reagieren. Während Anbieter wie Facebook und Google hier in der letzten Zeit recht professionell agierten, war über Yahoo vergleichsweise wenig bekannt.

Wie High-Tech Bridge berichtete, machte man sich in einem ersten Schritt daran, das Yahoo-Portal nach Sicherheitslücken zu durchleuchten - und wurde schnell fündig. Bereits nach 45 Minuten habe man die erste Cross-Site-Scripting (XSS)-Schwachstelle ausgemacht, hieß es. Auf die Übermittlung von Informationen reagierte man bei Yahoo sehr schnell: Es dauerte weniger als 24 Stunden, bis das Unternehmen reagierte.

Die Antwort fiel für die Sicherheits-Experten allerdings etwas enttäuschend aus. Man dankte für die Information, gab aber an, dass diese aber nicht honoriert werden könne, da jemand anderes bereits den gleichen Hinweis eingeschickt hatte. "Belege dafür, dass die Sicherheitslücke tatsächlich bereits von anderer Seite gemeldet wurde, gab es nicht", so die Security-Forscher.

Allerdings kann davon ausgegangen werden, dass dies stimmte - denn man machte sich auf die Suche nach weiteren Schwachstellen und wurde dafür dann durchaus belohnt. Immerhin drei weitere XSS-Lücken machte High-Tech Bridge nach eigenen Angaben ausfindig. Und diese waren durchaus kritisch: "Jede der gefundenen Lücken erlaubte es, jeden beliebigen @yahoo.com-E-Mail-Account zu kompromittieren", so der Bericht. Es genügte, einen speziell dafür gestalteten Link an die Nutzer zu schicken und darauf zu warten, dass sie ihn während ihrer Session im Web-Postfach anklicken.

Auch hier reagierte das Yahoo-Team wieder relativ schnell. Binnen 24 Stunden waren die Probleme beseitigt. Den Sicherheits-Forschern wurde gedankt und man ließ ihnen eine Belohnung zukommen. Diese fiel aber enttäuschend aus: Während andere Anbieter dieser Größe die Meldung solch kritischer Schwachstellen durchaus mit ansehnlichen Geldbeträgen honorieren, bekamen die Security-Forscher hier einen Gutscheincode in Höhe von 25 Dollar. Dieser kann ausschließlich im Yahoo Company Store eingelöst werden, über den T-Shirts, Tassen und Stifte mit dem Konzernlogo vertrieben werden.

An diesem Punkt habe man aufgehört, weiter nach Problemen zu suchen, hieß es. "Yahoo sollte vielleicht seine Beziehungen zu Sicherheits-Forschern überdenken", erklärte High-Tech Bridge-Chef Ilia Kolochenko. Solche Belohnungen, wie man sie hier erhielt, seien ein schlechter Witz - vor allem, wenn es um solche Informationen geht, mit denen man es hier zu tun hatte und die auf dem Schwarzmarkt zu sehr lukrativen Preisen verkauft werden können. Hacker, Yahoo, Open Hack Day Hacker, Yahoo, Open Hack Day
Mehr zum Thema: Yahoo
Diese Nachricht empfehlen
Kommentieren8
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 14:40 Uhr Narrow Box 4K
Narrow Box 4K
Original Amazon-Preis
199,90
Im Preisvergleich ab
?
Blitzangebot-Preis
149,90
Ersparnis zu Amazon 25% oder 50
Nur bei Amazon erhältlich

Yahoos Aktienkurs in Euro

Yahoos Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Tipp einsenden