Dropbox startet Sicherheitslücken-Prämienprogramm auf HackerOne

Es deckt die Webanwendungen ebenso wie die Android- und iOS-Apps ab. Früher gemeldete Sicherheitslücken werden nachträglich mit insgesamt 10.475 Dollar honoriert. Eine offizielle Obergrenze für Prämien gibt es nicht, in der Praxis waren es bisher 4913 Dollar.

Dropbox hat ein Prämienprogramm für Entdecker von Sicherheitslücken gestartet. Es bedient sich wie viele andere Firmen dabei der Plattform HackerOne. Es schließt die Android- und iOS-Anwendungen Dropbox, Carousel und Mailbox ein, wie Devdatta Akhawe in einem Blogbeitrag schreibt, zudem die Webapps für Dropbox und Carousel, den Dropbox-Desktop-Client und das Dropbox Core SDK.Dropbox-Logo (Bild: Dropbox)

Eine bestimmte minimale oder maximale Prämiensumme definiert Dropbox nicht. Vielmehr zahlt es in Abhängigkeit von der Schwere der Lücke. Bisher war ein öffentlicher Dank alles, was Entdecker von Sicherheitslücken bei Dropbox zu erwarten hatten. Ihnen zahlt es nun nachträglich insgesamt 10.475 Dollar Prämien aus. Die Höhe einzelner Prämien lag bisher zwischen 216 und 4913 Dollar.

Wie bei allen HackerOne-Programmen verdienen Sicherheitsforscher durch bestätigte Lücken zusätzlich Renommee. In Adobes Schwachstellen-Meldeprogramm sind sogar ausschließlich solche Reputationspunkte zu verdienen.

Für die Behebung gemeldeter Lücken erbittet sich Dropbox einen „vernünftigen“ Zeitraum, bevor der Entdecker seinen Erfolg veröffentlicht. Forscher sollten zudem nicht ohne Genehmigung auf Nutzerdaten zugreifen oder diese gar verändern und allgemein in guter Absicht handeln.

Bisher wurden 27 Fehler gemeldet und geschlossen. Das Programm deckt keine Lücken ab, die physischen Zugriff auf ein bestimmtes Endgerät erfordern, die nur auf gerooteten Geräten existieren oder die veraltete Versionen betreffen.

Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

Im März 2015 hatte Dropbox eine schwerwiegende Sicherheitslücke unter Android geschlossen. Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Android, Dropbox, Sicherheit, Software, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Dropbox startet Sicherheitslücken-Prämienprogramm auf HackerOne

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *