Bug Bounty

Seit nun mehreren Jahren sammle ich hobbymäßig Bug Bounties. Obwohl sich viele Firmen nur mit einem schriftlichen „Danke“ zurückmelden, ist die Aussicht auf ein kleines Taschengeld in manchen Fällen gar nicht so schlecht. Um dabei eine möglichst hohe Erfolgschance zu haben, sollte man folgendes beachten:

  • Offene Kommunikation ist wichtig.
    Denn Details zu verbergen weckt misstrauen.
  • Erst liefern, dann nach einem Bounty fragen.
    Denn man sollte in erster Linie die gleichen Interessen wie das Unternehmen verfolgen. Und das ist hoffentlich die IT-Sicherheit und nicht das Bounty.
  • Gute Proof of Concepts können helfen
    Denn damit ein Unternehmen das Ausmaß einer Lücke realisiert, sollte zum einen ein Worst-Case-Szenario und ein beispielhaftes Ausnutzen der Lücke präsentiert werden. Obwohl manche Lücken auch für jeden Entwickler verständlich sein sollten, tun sich manche Unternehmen sehr schwer bei der Einschätzung.
  • Ein Video sagt mehr als tausend Worte
    Natürlich ersetzt ein Video über die Sicherheitslücke keinen Bug Report in Textform, jedoch kann dies als Begleitmaterial vor allem die Reproduzierbarkeit für das Unternehmen erleichtern. Gleiches gilt für Screenshots.
  • Schäden vermeiden
    SLEEP(10) anstelle DROP TABLE gefällt den meisten Unternehmen deutlich besser. Sollte man während dem Suchen von Bugs etwas am System beschädigen, könnte dies unangenehme Folgen haben. Denn die Aussage „Ich wollte euch das eigentlich Melden“ ist im nachhinein nur noch schwer zu glauben.
  • Geheimhaltung bis zum Fix
    Gerne berichtet man von den Erfolgen als Bug Hunter. Dennoch sollte man seine Berichterstattung stark einschränken. Die Veröffentlichung von Details vor Behebung des Bugs führt in der Regel zur Disqualifizierung und kann unter Umständen auch strafbar sein.

Nach dem Report kommt das Warten auf eine Reaktion. Und dann wirds spannend. Dabei stößt man auf die unterschiedlichsten Antworten. Auf folgende Reaktionen kann man gerne verzichten:

  • Keine Antworte ist auch eine Antwort
    Manchmal hilft ein zweiter Anstupser, um den Stein ins Rollen zu bringen. Auch sollte man ggf. mal andere Kommunikationswege ausprobieren.
  • „Die Sicherheitslücke gibt es bei uns nicht“ – Heimliches Fixen und abstreiten
    Das ist wohl so ziemlich das dreisteste was einem Bug Hunter passieren kann. In solchen Fällen macht es in der Regel auch keinen Sinn mehr sich mit dem Unternehmen zu beschäftigen. Zwar können zuvor angelegte Screenshots und Videos die Sicherheitslücke beweisen, jedoch hat das Unternehmen damit bereits das Desinteresse an jeglicher Kooperation bewiesen.
  • Der frühe erste Vogel fängt den Wurm
    Fast jeder der schon mal auf Plattformen wie HackerOne sein Glück versucht hat, wird das Wort „Duplikat“ nicht gerne hören. Konkret werden Reports als Duplikat schlossen, wenn die selbe Schwachstelle bereits von einer anderen Person gemeldet wurde. Da oftmals weitere Details zum Vorgänger-Report verschwiegen werden, lohnt es sich gelegentlich näher nachzuhaken. Denn manchmal passiert es, dass Reports aufgrund einer falschen Interpretation als Duplikat geschlossen werden.

Zum Glück bleiben solche Reaktionen dann doch eher eine Seltenheit.

Sobald das Unternehmen die Schwachstelle (hoffentlich) bestätigen konnte, beginnt das Warten auf einen Fix. Bug Bounties werden in der Regel erst ausgezahlt, nachdem die Schwachstelle behobenen wurde. Ungeduldiges Nachfragen wirkt daher unprofessionell. Viel hilfreicher ist es, dem Unternehmen bei der Behebung mit bspw. Tipps zum Vorgehen zu unterstützen. Nicht selten werden auf Plattformen wie HackerOne Bonus-Zahlungen für qualitativ hochwertige Reports gezahlt.