Dropbox hat ein Prämienprogramm für Entdecker von Sicherheitslücken gestartet. Es bedient sich wie viele andere Firmen dabei der Plattform HackerOne. Es schließt die Android- und iOS-Anwendungen Dropbox, Carousel und Mailbox ein, wie Devdatta Akhawe in einem Blogbeitrag schreibt, zudem die Webapps für Dropbox und Carousel, den Dropbox-Desktop-Client und das Dropbox Core SDK.
Eine bestimmte minimale oder maximale Prämiensumme definiert Dropbox nicht. Vielmehr zahlt es in Abhängigkeit von der Schwere der Lücke. Bisher war ein öffentlicher Dank alles, was Entdecker von Sicherheitslücken bei Dropbox zu erwarten hatten. Ihnen zahlt es nun nachträglich insgesamt 10.475 Dollar Prämien aus. Die Höhe einzelner Prämien lag bisher zwischen 216 und 4913 Dollar.
Wie bei allen HackerOne-Programmen verdienen Sicherheitsforscher durch bestätigte Lücken zusätzlich Renommee. In Adobes Schwachstellen-Meldeprogramm sind sogar ausschließlich solche Reputationspunkte zu verdienen.
Für die Behebung gemeldeter Lücken erbittet sich Dropbox einen „vernünftigen“ Zeitraum, bevor der Entdecker seinen Erfolg veröffentlicht. Forscher sollten zudem nicht ohne Genehmigung auf Nutzerdaten zugreifen oder diese gar verändern und allgemein in guter Absicht handeln.
Bisher wurden 27 Fehler gemeldet und geschlossen. Das Programm deckt keine Lücken ab, die physischen Zugriff auf ein bestimmtes Endgerät erfordern, die nur auf gerooteten Geräten existieren oder die veraltete Versionen betreffen.
Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.
Im März 2015 hatte Dropbox eine schwerwiegende Sicherheitslücke unter Android geschlossen. Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
