VDA Labs, ein Startup, das Fehler in Anwendungen aufspürt, hat durch ungewöhnliche Geschäftspraktiken auf sich aufmerksam gemacht. In den USA gilt sein Name inzwischen als Synonym für ein neues, zweifelhaftes Geschäftsmodell.
Vulnerability Discovery and Analysis (VDA) Labs wurde im April von Jared DeMott gegründet. Das Unternehmen sucht nach Bugs in Webanwendungen und benachrichtigt daraufhin den jeweiligen Betreiber. Allerdings belässt VDA es nicht nur dabei, sondern verlangt für die Entdeckung der Bugs eine Gebühr beziehungsweise einen Beratungsauftrag. Andernfalls würde der Bug an Dritte weiterverkauft werden oder der Fehler öffentlich aufgedeckt werden. „Unser Business-Modell hat schon ein paar Ecken und Kanten“, gibt DeMott zu – andere nennen es schlicht Erpressung.
Vor zwei Wochen bekam es die Social-Network-Plattform Linkedin mit VDA zu tun. Die Firma spürte eine Sicherheitslücke in der Linkedin-Internet-Explorer-Toolbar auf und bot dem Unternehmen genauere Informationen sowie weitere Beraterdienste zum Pauschalpreis von 5000 Dollar an. Gleichzeitig wurde Linkedin ein Ultimatum gesetzt.
Nachdem Linkedin auf die Forderungen nicht reagierte, verschickte VDA am Abend vor dem Ablauf des Ultimatums weitere E-Mails. Darin wurde an die Deadline erinnert und die Forderung auf 10.000 Dollar erhöht. Als auch diese Drohung unbeantwortet blieb, bot DeMott zwei Tage später nur noch die Beratungsdienste an. Linkedin hat sich zu diesem Vorfall nicht geäußert und den betreffenden Bug mittlerweile selbst bereinigt.
DeMott verteidigt derweil seine Praktiken. Sie seien nur dazu gedacht, den betroffenen Unternehmen zu helfen und eindringlich auf bestehende Sicherheitslücken hinzuweisen. „Wir haben unsere Maßnahmen niemals als Erpressung angesehen. Wir wollten Firmen lediglich auf Fehler hinweisen und unsere Hilfe anbieten.“ Als Begründung nennt er die Verfahrensweise einiger Softwarefirmen, niemals mit Sicherheitsfirmen zusammenzuarbeiten, sondern lediglich auf durch Kunden aufgedeckte Fehler zu reagieren. „Wir haben mit unserem Geschäftsmodell durchaus Erfolg. In den vergangen vier Monaten hat die Hälfte der angesprochenen Firmen für die Beseitigung der Bugs gezahlt.“
„Das ist eindeutig Erpressung. Niemand sollte mit der Veröffentlichung eines Bugs drohen und Geld fordern“, sagt Johannes Ullrich, Forschungsleiter beim Sans Institute. „VDA ist nicht die einzige Firma mit derartigen Geschäftspraktiken. Da große Firmen wie Microsoft aber im Einklang mit ihren Unternehmenswerten niemals für aufgedeckte Fehler bezahlen würden, sehen sie die Vorgehensweise als schlichte Erpressung an“, ergänzt Terri Forslof, Sicherheitsmanager bei Tipping Point, einer Tochterfirma von 3Com.
Neueste Kommentare
1 Kommentar zu Jagd nach Softwarefehlern als Geschäftsmodell
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Genau richtig so!!!
Ich finde es richtig, als Hersteller habe ich für die Sicherheit meiner Produkte zu garantieren. Wenn ich z.B. Glühbirnen herstellen würde und der erste der sie einschraubt bekommt einen E-Schlag wer ist dann der schuldige?
Baue ich ein Auto und beim Kunden verlierts ein Rad… Wer hat schuld?
Programmiere ich unsauber eine Datenbank, ein Hacker kann alle Daten löschen… Wer ist Schuld? Ausgenommen fahrlässige Admin Fehler doch wohl die Programmierer der Software!
Gäbe es die Vorschriften die man bei vielen Produkten hat auch bei Software,
Qualitätskontrolle, Sicherheitsprüfung, diverse Abnahmezeichen… was meiner Meinung nach gerechtfertigt wäre, der Umsatz von Software ist ja nicht zu verachten, könnte nicht jeder halbfertigen code als Final Version möglichst früh auf den Markt gebracht werden.
Erpressung? Warum, die Firma kann sich ja problemlos weigern zu bezahlen und das Problem selbst erledigen. Allgemein geben die meisten derjenigen die einen Bug finden dem Hersteller eine kurze Zeit bevor sie ihn veröffentlichen, genauso handelt diese Firma. Es ist geradezu eine Frechheit dass viele Softwarehersteller die Bugs einfach von den Usern aufdecken lassen.
Wie wäre es das mit Elekrogeräten so zu machen?
Keine Sicherheitsprüfung, der erste der einen Schlag bekommt meldet sich dann doch bitte…(unter unserer KOSTENFREIEN 24h Hotline)…