DeveloperIT-Projekte

Bounty Factory als erste europäische Bug-Bounty-Plattform gestartet

Sicherheitslücken (Bild: Shutterstock/wk1003mike)
1 2 Keine Kommentare

Die französische Initiative bietet auf ihrer Webseite eine Übersicht über diverse Prämienprogramme von Dienste- und Softwareanbietern. In den USA gibt es mit BugCrowd und HackerOne bereits entsprechende Vorbilder. Wie sie soll auch Bounty Factory Experten helfen, Schwachstellen legal aufdecken zu können und dafür belohnt zu werden.

Mit dem Angebot Bounty Factory ist jetzt die nach eigenen Angaben erste europäische Plattform verfügbar, die bei der Suche nach Schwachstellen die Bemühungen von Firmen und externen Experten koordinieren will. Dazu bietet sie den Spezialisten eine Anlaufstelle und den Firmen die Möglichkeit, Prämien für in ihrer Software gefundene Schwachstellen auszuloben. Außerdem soll über die Plattform dafür gesorgt werden, dass bei der Aufdeckung von Sicherheitslücken alles mit rechten Dingen zugeht – also Hacker keine Verfolgung durch die Justiz fürchten müssen, wenn bei Firmen Schwachstellen gefunden haben.

Während es dafür in den USA mit BugCrowd und HackerOne bereits etablierte Plattformen gibt, hat in Europa ein derartiges Angebot bisher gefehlt. Hier will Bounty Factory nun Abhilfe schaffen. Hinter der Plattform stehen Guillaume Vassault-Houlière von der Spezialsuchmaschine Qwant und der französische Tech-Blogger Korben. Sie erklären den späten Start eines Angebots in Europa unter anderem auch mit der schwierigen politischen Lage – US-Firmen seien nur bedingt willens und aufgrund der Gesetzeslage in den USA fähig – sich durch ausländische Experten auf den Prüfstand stellen zu lassen. Andererseits machen sie für das Fehlen eines europäischen Angebots auch die Mentalität der europäischen Firmen verantwortlich, die Hinweise auf Schwachstellen nicht als willkommene Hilfe, sondern eher als Beleidigung und Affront interpretieren. Das soll sich nun ändern.

Auf Bounty Factory haben bereits zum Start zahlreiche Firmen und Organisationen – sowohl aus Europa als auch den USA – ihre Prämienprogramme veröffentlicht und vorgegeben, für was sie Belohnungen ausschütten, etwa für Fehler auf der Website oder in ihren Apps. Außerdem können sie festlegen, was von den Teilnehmern nicht angegriffen werden darf – etwa Infrastruktur oder Produktionssysteme – und welche Techniken zugelassen sind, etwa Cross Site Scripting oder SQL-Injection.

Bounty Factory behält für seine Dienstleistung 25 Prozent der Prämie ein, mindestens jedoch 50 Euro. Alternativ können sich Hacker auch in Punkten auszahlen lassen. Diese Punkte erlauben es ihnen dann an attraktiveren Prämienprogrammen teilzunehmen oder um damit ihr Profil auf der Stellenvermittlungsbörse YesWeHack zu verbessern, die von den Machern von Bounty Factory schon seit ein paar Jahren betrieben wird. Berichten zufolge soll die Plattform demnächst bei französischen Technologiefirmen präsentiert werden um weitere Anbieter von Prämienprogrammen zu gewinnen. Von Seiten der Hacker hätten sich bereits kurz nach dem Start über 100 angemeldet.

Außerdem ist offenbar geplant die Plattform mit noch zu beschaffenden Geldern – entweder durch Investoren oder Crowdfunding-Kampagnen – auszubauen und vor allem dafür zu sorgen, dass sie nicht selbst Ziel von Angriffen wird. Schließlich wäre ein erfolgreicher Einbruch in eine Datenbank mit zahlreichen Schwachstellen für kriminelle Hacker ein wertvoller Erfolg.

Journalist, Chefredakteur von ITespresso.de. Sucht immer nach Möglichkeiten und Wegen, wie auch kleine Firmen vom rasanten Fortschritt in der IT profitieren können. Oder nach Geschäftsmodellen, die IT benutzen, um die Welt zu verbessern - wenigstens ein bisschen.

Folgen