Die “Bounty Factory” soll die erste europaweite Plattform sein, auf der Software-Fehler gegen eine Belohnung gemeldet werden können. Unternehmen und externen Sicherheitsexperten soll die Plattform bei der Suche nach Schwachstellen unterstützten. Software- und Serviceanbieter können auch Prämien für die Entdeckung unbekannter Lücken in eigenen Produkten bereit stellen. Die Plattform soll auch für Rechtssicherheit sorgen, wenn Hacker Sicherheitslecks in Unternehmen aufdecken.
In den USA existiert mit BugCrowd und HackerOne eine etablierte Plattformen. Nun will Bounty Factory dieses Modell auch in Europa anbieten. Hinter der Plattform stehen Guillaume Vassault-Houlière von der Spezialsuchmaschine Qwant und der französische Tech-Blogger Korben.
Sie erklären den späten Start eines europäischen Angebots unter anderem mit der schwierigen politischen Lage: US-Firmen seien nur bedingt willens und aufgrund der Gesetzeslage in den USA fähig, sich durch ausländische Experten auf den Prüfstand stellen zu lassen. Andererseits machen sie für das Fehlen eines europäischen Angebots auch die Mentalität der europäischen Firmen verantwortlich, die Hinweise auf Schwachstellen nicht als willkommene Hilfe, sondern eher als Beleidigung und Affront interpretieren. Das soll sich nun ändern.
Auf Bounty Factory haben bereits zum Start zahlreiche Firmen und Organisationen – sowohl aus Europa als auch den USA – ihre Prämienprogramme veröffentlicht und vorgegeben, für was sie Belohnungen ausschütten, etwa für Fehler auf der Website oder in ihren Apps. Außerdem können sie festlegen, was von den Teilnehmern nicht angegriffen werden darf – etwa Infrastruktur oder Produktionssysteme – und welche Techniken zugelassen sind, etwa Cross-Site Scripting (XSS) oder SQL-Injection.
Bounty Factory behält 25 Prozent der Prämie ein, mindestens jedoch 50 Euro. Alternativ können sich Hacker auch in Punkten auszahlen lassen. Diese Punkte sollen in Prämienprogrammen eingetauscht oder damit für das Profil auf der Stellenvermittlungsbörse YesWeHack verwendet werden können. YesWeHack wird von den Verantwortlichen von Bounty Factory betrieben wird. Berichten zufolge wird die Plattform demnächst bei französischen Technologiefirmen präsentiert werden, um weitere Anbieter von Prämienprogrammen zu gewinnen. Von Seiten der Hacker hätten sich bereits kurz nach dem Start über 100 angemeldet.
Außerdem ist offenbar geplant, die Plattform mit noch zu beschaffenden Geldern – entweder durch Investoren oder Crowdfunding-Kampagnen – auszubauen und vor allem dafür zu sorgen, dass sie nicht selbst Ziel von Angriffen wird. Schließlich wäre ein erfolgreicher Einbruch in eine Datenbank mit zahlreichen Schwachstellen für kriminelle Hacker ein wertvoller Erfolg.
[mit Material von Peter Marwan, ITespresso.de]
Die Gesichter hinter der Malware – Wer sind die berühmtesten Hacker? Stellen Sie Ihr Wissen auf silicon.de unter Beweis!
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.