Dropbox hat ein Prämienprogramm für Entdecker von Sicherheitslücken gestartet. Es bedient sich wie viele andere Firmen dabei der Plattform HackerOne. Es schließt die Android- und iOS-Anwendungen Dropbox, Carousel und Mailbox ein, wie Devdatta Akhawe in einem Blogbeitrag schreibt, zudem die Webapps für Dropbox und Carousel, den Dropbox-Desktop-Client und das Dropbox Core SDK.
Eine bestimmte minimale oder maximale Prämiensumme definiert Dropbox nicht. Vielmehr zahlt es in Abhängigkeit von der Schwere der Lücke. Bisher war ein öffentlicher Dank alles, was Entdecker von Sicherheitslücken bei Dropbox zu erwarten hatten. Ihnen zahlt es nun nachträglich insgesamt 10.475 Dollar Prämien aus. Die Höhe einzelner Prämien lag bisher zwischen 216 und 4913 Dollar.
Wie bei allen HackerOne-Programmen verdienen Sicherheitsforscher durch bestätigte Lücken zusätzlich Renommee. In Adobes Schwachstellen-Meldeprogramm sind sogar ausschließlich solche Reputationspunkte zu verdienen.
Für die Behebung gemeldeter Lücken erbittet sich Dropbox einen „vernünftigen“ Zeitraum, bevor der Entdecker seinen Erfolg veröffentlicht. Forscher sollten zudem nicht ohne Genehmigung auf Nutzerdaten zugreifen oder diese gar verändern und allgemein in guter Absicht handeln.
Bisher wurden 27 Fehler gemeldet und geschlossen. Das Programm deckt keine Lücken ab, die physischen Zugriff auf ein bestimmtes Endgerät erfordern, die nur auf gerooteten Geräten existieren oder die veraltete Versionen betreffen.
Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.
Im März 2015 hatte Dropbox eine schwerwiegende Sicherheitslücke unter Android geschlossen. Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
