VDA Labs, ein Startup, das Fehler in Anwendungen aufspürt, hat durch ungewöhnliche Geschäftspraktiken auf sich aufmerksam gemacht. In den USA gilt sein Name inzwischen als Synonym für ein neues, zweifelhaftes Geschäftsmodell.
Vulnerability Discovery and Analysis (VDA) Labs wurde im April von Jared DeMott gegründet. Das Unternehmen sucht nach Bugs in Webanwendungen und benachrichtigt daraufhin den jeweiligen Betreiber. Allerdings belässt VDA es nicht nur dabei, sondern verlangt für die Entdeckung der Bugs eine Gebühr beziehungsweise einen Beratungsauftrag. Andernfalls würde der Bug an Dritte weiterverkauft werden oder der Fehler öffentlich aufgedeckt werden. „Unser Business-Modell hat schon ein paar Ecken und Kanten“, gibt DeMott zu – andere nennen es schlicht Erpressung.
Vor zwei Wochen bekam es die Social-Network-Plattform Linkedin mit VDA zu tun. Die Firma spürte eine Sicherheitslücke in der Linkedin-Internet-Explorer-Toolbar auf und bot dem Unternehmen genauere Informationen sowie weitere Beraterdienste zum Pauschalpreis von 5000 Dollar an. Gleichzeitig wurde Linkedin ein Ultimatum gesetzt.
Nachdem Linkedin auf die Forderungen nicht reagierte, verschickte VDA am Abend vor dem Ablauf des Ultimatums weitere E-Mails. Darin wurde an die Deadline erinnert und die Forderung auf 10.000 Dollar erhöht. Als auch diese Drohung unbeantwortet blieb, bot DeMott zwei Tage später nur noch die Beratungsdienste an. Linkedin hat sich zu diesem Vorfall nicht geäußert und den betreffenden Bug mittlerweile selbst bereinigt.
DeMott verteidigt derweil seine Praktiken. Sie seien nur dazu gedacht, den betroffenen Unternehmen zu helfen und eindringlich auf bestehende Sicherheitslücken hinzuweisen. „Wir haben unsere Maßnahmen niemals als Erpressung angesehen. Wir wollten Firmen lediglich auf Fehler hinweisen und unsere Hilfe anbieten.“ Als Begründung nennt er die Verfahrensweise einiger Softwarefirmen, niemals mit Sicherheitsfirmen zusammenzuarbeiten, sondern lediglich auf durch Kunden aufgedeckte Fehler zu reagieren. „Wir haben mit unserem Geschäftsmodell durchaus Erfolg. In den vergangen vier Monaten hat die Hälfte der angesprochenen Firmen für die Beseitigung der Bugs gezahlt.“
„Das ist eindeutig Erpressung. Niemand sollte mit der Veröffentlichung eines Bugs drohen und Geld fordern“, sagt Johannes Ullrich, Forschungsleiter beim Sans Institute. „VDA ist nicht die einzige Firma mit derartigen Geschäftspraktiken. Da große Firmen wie Microsoft aber im Einklang mit ihren Unternehmenswerten niemals für aufgedeckte Fehler bezahlen würden, sehen sie die Vorgehensweise als schlichte Erpressung an“, ergänzt Terri Forslof, Sicherheitsmanager bei Tipping Point, einer Tochterfirma von 3Com.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.