Kriege ich für eine Sicherheitslücke eine Belohnung?
Kenne eine Sicherheitslücke von einer Großfirma und würde es dort gerne melden, da sie sonst noch höhere Verluste von Cyberkriminellen in kauf nehmen müssen.
Wo kann ich das melden? lohnt sich das?
6 Antworten
"Wo kann ich das melden?" ich würde mal glatt behaupten bei der Firma direkt. so rein aus meinem jugendlichen Leichtsinn raus gesagt
"lohnt sich das?" kann sein, kann aber auch nciht sein. Gibt Firmen die lassen sich das was kosten und bei anderen bekommst nur nen feuchten Händedruck
klar. der Saftladen meinte ja auch, daß er die Lücke nicht zeitnah zu schließen braucht und daher wurde er dann mit der Veröffentlichung überrumpelt.
Wenn man sich mit solch hochnäsigen Dienstleistern einläßt... mehr sag ich dazu nicht
und bei anderen bekommst nur nen feuchten Händedruck
Nicht im Pandemiezeitalter, da kriegt man nur Lob und Anerkennung in einfacher Form.
Ich würde mir eher sorgen machen, dass Du ne Anzeige bekommst. Ethical Hacking (siehe Tags) ist nur dann erlaubt, wenn es von der Firma beauftragt wurde. Ansonsten ist jede Form von Hacking-Versuch strafbar.
Wenn Du versehentlich drüber gestolpert bist, würde ich ganz anders vorgehen: Ich würde das an den Heise Verlag (Redaktion c't) schreiben. Die prüfen das und können sich dann mit der Firma in Verbindung setzen. Normalerweise bekommst Du eh nix, wenn nicht explizit eine Bug-Bounty ausgeschrieben wurde...
Kenne eine Sicherheitslücke von einer Großfirma
Die wichtige Frage wäre hier: Woher kennst du diese Sicherheitslücke? Wenn du nicht explizit damit beauftragt wurdest, die Sicherheit des Unternehmens zu überprüfen oder das Unternehmen eine Bug Bounty Policy hat, also pauschal allen Personen bestimmte Tests erlaubt, so machst du dich in vielen Fällen strafbar.
Wo kann ich das melden?
Im Zweifel schreibt man die Firma an (per E-Mail), sagt dass man eine Sicherheitslücke gefunden hat und bittet um Rückmeldung, welcher Übermittlungsweg präferiert wird (bspw. um Zusendung eines öffentlichen PGP-Schlüssels bitten).
Eine solche Meldung vorzunehmen ist wichtig und richtig, wäre allerdings ziemlich unklug, wenn du dich hier ethisch unkorrekt oder gar illegal verhalten hast.
Kriege ich für eine Sicherheitslücke eine Belohnung?
Sofern nicht explizit ein Bug Bounty Programm vorhanden ist, in 99,9 % der Fälle nicht. Nicht einmal wenn ein solches Programm existiert, wird man notwendigerweise auch materiell entlohnt.
In Zukunft bitte so einen Blödsinn sein lassen, siehe Punkt sieben der Hackerethik sowie §§ 202a, 202b, 202c, 303a, 303b StGB. Wenn ein Unternehmen dich nicht selbst beauftragt oder eine entsprechende Policy hat, hast du auch nicht an deren Systemen herumzudoktern. Für die Zukunft: Es gibt genug Unternehmen, die Bug Bounty Programme haben, ich verlinke hier gerne nochmal zwei Seiten zu diesem Thema.
https://hackerone.com/opportunities/all
LG
Wo kann ich das melden? lohnt sich das?
Bei dem Unternehmen selbst, wo denn sonst. 🤦♀️
Ja, bei einem Großunternehmen wirst du auch einen entsprechenden Obolus bekommen.
Du meldest das natürlich bei der Firma.
Best case kriegst du eine kleine belohnung, worst case eine Anzeige
Oder eine Anzeige ¯\_(ツ)_/¯
https://www.borncity.com/blog/2023/12/13/hauptverhandlung-gegen-entdecker-der-modern-solutions-schwachstelle-im-januar-2024/