Bug Bounty: Yahoo speist Forscher mit T-Shirts ab
Während die meisten großen Internet-Unternehmen inzwischen so genannte Bug-Bounty-Programme haben, um dafür zu sorgen, dass Informationen über Sicherheitslücken bei ihnen und nicht etwa bei Kriminellen landen, sieht dies bei Yahoo etwas anders aus.
Das zeigte ein Experiment, das die Schweizer Security-Firma High-Tech Bridge durchführte. Hier wollte man prüfen, in welcher Form große Web-Dienstleister, denen Millionen Nutzer ihre Daten anvertrauen, auf die Meldung von Sicherheitsproblemen reagieren. Während Anbieter wie Facebook und Google hier in der letzten Zeit recht professionell agierten, war über Yahoo vergleichsweise wenig bekannt.
Wie High-Tech Bridge berichtete, machte man sich in einem ersten Schritt daran, das Yahoo-Portal nach Sicherheitslücken zu durchleuchten - und wurde schnell fündig. Bereits nach 45 Minuten habe man die erste Cross-Site-Scripting (XSS)-Schwachstelle ausgemacht, hieß es. Auf die Übermittlung von Informationen reagierte man bei Yahoo sehr schnell: Es dauerte weniger als 24 Stunden, bis das Unternehmen reagierte.
Die Antwort fiel für die Sicherheits-Experten allerdings etwas enttäuschend aus. Man dankte für die Information, gab aber an, dass diese aber nicht honoriert werden könne, da jemand anderes bereits den gleichen Hinweis eingeschickt hatte. "Belege dafür, dass die Sicherheitslücke tatsächlich bereits von anderer Seite gemeldet wurde, gab es nicht", so die Security-Forscher.
Allerdings kann davon ausgegangen werden, dass dies stimmte - denn man machte sich auf die Suche nach weiteren Schwachstellen und wurde dafür dann durchaus belohnt. Immerhin drei weitere XSS-Lücken machte High-Tech Bridge nach eigenen Angaben ausfindig. Und diese waren durchaus kritisch: "Jede der gefundenen Lücken erlaubte es, jeden beliebigen @yahoo.com-E-Mail-Account zu kompromittieren", so der Bericht. Es genügte, einen speziell dafür gestalteten Link an die Nutzer zu schicken und darauf zu warten, dass sie ihn während ihrer Session im Web-Postfach anklicken.
Auch hier reagierte das Yahoo-Team wieder relativ schnell. Binnen 24 Stunden waren die Probleme beseitigt. Den Sicherheits-Forschern wurde gedankt und man ließ ihnen eine Belohnung zukommen. Diese fiel aber enttäuschend aus: Während andere Anbieter dieser Größe die Meldung solch kritischer Schwachstellen durchaus mit ansehnlichen Geldbeträgen honorieren, bekamen die Security-Forscher hier einen Gutscheincode in Höhe von 25 Dollar. Dieser kann ausschließlich im Yahoo Company Store eingelöst werden, über den T-Shirts, Tassen und Stifte mit dem Konzernlogo vertrieben werden.
An diesem Punkt habe man aufgehört, weiter nach Problemen zu suchen, hieß es. "Yahoo sollte vielleicht seine Beziehungen zu Sicherheits-Forschern überdenken", erklärte High-Tech Bridge-Chef Ilia Kolochenko. Solche Belohnungen, wie man sie hier erhielt, seien ein schlechter Witz - vor allem, wenn es um solche Informationen geht, mit denen man es hier zu tun hatte und die auf dem Schwarzmarkt zu sehr lukrativen Preisen verkauft werden können.
Wie High-Tech Bridge berichtete, machte man sich in einem ersten Schritt daran, das Yahoo-Portal nach Sicherheitslücken zu durchleuchten - und wurde schnell fündig. Bereits nach 45 Minuten habe man die erste Cross-Site-Scripting (XSS)-Schwachstelle ausgemacht, hieß es. Auf die Übermittlung von Informationen reagierte man bei Yahoo sehr schnell: Es dauerte weniger als 24 Stunden, bis das Unternehmen reagierte.
Die Antwort fiel für die Sicherheits-Experten allerdings etwas enttäuschend aus. Man dankte für die Information, gab aber an, dass diese aber nicht honoriert werden könne, da jemand anderes bereits den gleichen Hinweis eingeschickt hatte. "Belege dafür, dass die Sicherheitslücke tatsächlich bereits von anderer Seite gemeldet wurde, gab es nicht", so die Security-Forscher.
Allerdings kann davon ausgegangen werden, dass dies stimmte - denn man machte sich auf die Suche nach weiteren Schwachstellen und wurde dafür dann durchaus belohnt. Immerhin drei weitere XSS-Lücken machte High-Tech Bridge nach eigenen Angaben ausfindig. Und diese waren durchaus kritisch: "Jede der gefundenen Lücken erlaubte es, jeden beliebigen @yahoo.com-E-Mail-Account zu kompromittieren", so der Bericht. Es genügte, einen speziell dafür gestalteten Link an die Nutzer zu schicken und darauf zu warten, dass sie ihn während ihrer Session im Web-Postfach anklicken.
Auch hier reagierte das Yahoo-Team wieder relativ schnell. Binnen 24 Stunden waren die Probleme beseitigt. Den Sicherheits-Forschern wurde gedankt und man ließ ihnen eine Belohnung zukommen. Diese fiel aber enttäuschend aus: Während andere Anbieter dieser Größe die Meldung solch kritischer Schwachstellen durchaus mit ansehnlichen Geldbeträgen honorieren, bekamen die Security-Forscher hier einen Gutscheincode in Höhe von 25 Dollar. Dieser kann ausschließlich im Yahoo Company Store eingelöst werden, über den T-Shirts, Tassen und Stifte mit dem Konzernlogo vertrieben werden.
An diesem Punkt habe man aufgehört, weiter nach Problemen zu suchen, hieß es. "Yahoo sollte vielleicht seine Beziehungen zu Sicherheits-Forschern überdenken", erklärte High-Tech Bridge-Chef Ilia Kolochenko. Solche Belohnungen, wie man sie hier erhielt, seien ein schlechter Witz - vor allem, wenn es um solche Informationen geht, mit denen man es hier zu tun hatte und die auf dem Schwarzmarkt zu sehr lukrativen Preisen verkauft werden können.
Thema:
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Xbox-Exlusivität von Spielen wird "von Fall zu Fall" entschieden
- Letzte Chance: PlayStation 5 und PS5 Pro bei Media Markt reduziert
- Microsoft lenkt ein: Windows-11-Suche bald ohne Bing-Spam nutzbar
- Chrome: Endgültiges Aus für uBlock Origin - Google schließt letzte Lücke
- Fernsehen für 4,99 Euro: Das sind die neuen Waipu.tv WM-Angebote
- KI verbieten? Nicht in Estland, das schenkt Tausenden Schülern ChatGPT
- "Chat ist tot": OpenAI plant massiven Umbau der ChatGPT-Dienste
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen