Dropbox hat ein Prämienprogramm für Entdecker von Sicherheitslücken gestartet. Es bedient sich wie viele andere Firmen dabei der Plattform HackerOne. Es schließt die Android- und iOS-Anwendungen Dropbox, Carousel und Mailbox ein, wie Devdatta Akhawe in einem Blogbeitrag schreibt, zudem die Webapps für Dropbox und Carousel, den Dropbox-Desktop-Client und das Dropbox Core SDK.
Eine bestimmte minimale oder maximale Prämiensumme definiert Dropbox nicht. Vielmehr zahlt es in Abhängigkeit von der Schwere der Lücke. Bisher war ein öffentlicher Dank alles, was Entdecker von Sicherheitslücken bei Dropbox zu erwarten hatten. Ihnen zahlt es nun nachträglich insgesamt 10.475 Dollar Prämien aus. Die Höhe einzelner Prämien lag bisher zwischen 216 und 4913 Dollar.
Wie bei allen HackerOne-Programmen verdienen Sicherheitsforscher durch bestätigte Lücken zusätzlich Renommee. In Adobes Schwachstellen-Meldeprogramm sind sogar ausschließlich solche Reputationspunkte zu verdienen.
Für die Behebung gemeldeter Lücken erbittet sich Dropbox einen „vernünftigen“ Zeitraum, bevor der Entdecker seinen Erfolg veröffentlicht. Forscher sollten zudem nicht ohne Genehmigung auf Nutzerdaten zugreifen oder diese gar verändern und allgemein in guter Absicht handeln.
Bisher wurden 27 Fehler gemeldet und geschlossen. Das Programm deckt keine Lücken ab, die physischen Zugriff auf ein bestimmtes Endgerät erfordern, die nur auf gerooteten Geräten existieren oder die veraltete Versionen betreffen.
Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.
Im März 2015 hatte Dropbox eine schwerwiegende Sicherheitslücke unter Android geschlossen. Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
