Yahoo spart beim Belohnen von Sicherheitslücken

Nachrichten

Im Gegensatz zu Google, Facebook und anderen großen Internetkonzernen steht der Wert zum Entlohnen von gefundenen Fehlern (Exploits) vergleichsweise gering. Damit zeigt sich nicht nur eine Sparsamkeit der Unternehmensführung, sondern auch der vermeintlich falsche Umgang mit dem Thema Sicherheit.

Vor Kurzem meldeten die Experten des US-Unternehmen High-Tech Bridge dem Großunternehmen Yahoo eine neue und brisante Sicherheitslücke auf vielen betriebenen Yahoo-Seiten. Die Experten hatten entgegen der Annahme „das große Geld“ zu machen im Sinn den Umgang von Yahoo mit Softwarefehlern einer Prüfung zu unterziehen. Bei dem Fehler handelte es viermal sich um ein sogenanntes XSS (Cross-Site-Scripting). Bei dieser Gattung von Fehlern ist eine Risikobewertung sehr individuell, aber keineswegs zu vernachlässigen. Unterschieden wird zwischen permanenten und nicht-permanenten Angriffen. Um welche Art es sich bei Yahoo handelte, ist nicht klar. Um so klarer war die Ansage zum Thema Entlohnung seitens Yahoo. 12,50 US-Dollar sollten im Augenmaß von Yahoo eine angemessene Summe darstellen. Vergleicht man diesen Wert mit Entlohnungssystem von Google, so tut sich eine riesige Differenz auf. Google zahlt für solche Lücken schätzungsweise 7500 US-Dollar, sogar Microsoft steht mit 100.000 US-Dollar an der Spitze. Es wirkt fast als hätte Yahoo das Aufkommen und die Wichtigkeit von Finderlohn-Programmen (Bug-Bounty-Programmen) verpasst oder nicht verstanden, denn ein solches besitzt es nicht.

Damit fiel die Antwort auch entsprechend aus. Yahoo teilte kurz mit, dass diese Lücken dem Unternehmen bereits bekannt seien und man daher von einer Zahlung absehe. Kurze Zeit später machte Yahoo eine Kehrtwende und war bereit die gefundenen Fehler zu entlohnen. Das untypische Verhalten stimmte die Forscher nachdenklich, sodass sie weiter suchten und dabei erneut fündig wurden. Nach erneuter Meldung klärte sich Yahoo bereit statt der 12,50 USD eine Summe von 25 USD zu zahlen, allerdings in Form eines Gutscheins für den firmeneigenen Web-Store.

Für die Forscher ist es ein sehr ernüchterndes Ergebnis, denn sie sind der Meinung, dass das Unternehmen nicht den Sinn eines solchen Belohnungssystems verstanden hat. Die vergleichsweise lächerlich kleine Summe animiert die Experten nicht. Eine konstruktive Kritik wird ebenfalls geäußert, so würde das Einrichten einer „Hall of Fame“ mit Namensnennung und Danksagung für Finder von Fehlern ein guter Schritt statt einer Entlohnung sein.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.