Dropbox hat ein Prämienprogramm für Entdecker von Sicherheitslücken gestartet. Es bedient sich wie viele andere Firmen dabei der Plattform HackerOne. Es schließt die Android- und iOS-Anwendungen Dropbox, Carousel und Mailbox ein, wie Devdatta Akhawe in einem Blogbeitrag schreibt, zudem die Webapps für Dropbox und Carousel, den Dropbox-Desktop-Client und das Dropbox Core SDK.
Eine bestimmte minimale oder maximale Prämiensumme definiert Dropbox nicht. Vielmehr zahlt es in Abhängigkeit von der Schwere der Lücke. Bisher war ein öffentlicher Dank alles, was Entdecker von Sicherheitslücken bei Dropbox zu erwarten hatten. Ihnen zahlt es nun nachträglich insgesamt 10.475 Dollar Prämien aus. Die Höhe einzelner Prämien lag bisher zwischen 216 und 4913 Dollar.
Wie bei allen HackerOne-Programmen verdienen Sicherheitsforscher durch bestätigte Lücken zusätzlich Renommee. In Adobes Schwachstellen-Meldeprogramm sind sogar ausschließlich solche Reputationspunkte zu verdienen.
Für die Behebung gemeldeter Lücken erbittet sich Dropbox einen „vernünftigen“ Zeitraum, bevor der Entdecker seinen Erfolg veröffentlicht. Forscher sollten zudem nicht ohne Genehmigung auf Nutzerdaten zugreifen oder diese gar verändern und allgemein in guter Absicht handeln.
Bisher wurden 27 Fehler gemeldet und geschlossen. Das Programm deckt keine Lücken ab, die physischen Zugriff auf ein bestimmtes Endgerät erfordern, die nur auf gerooteten Geräten existieren oder die veraltete Versionen betreffen.
Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.
Im März 2015 hatte Dropbox eine schwerwiegende Sicherheitslücke unter Android geschlossen. Sie steckte in seinen Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
