Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Shopsysteme - Online Shop erstellen - Jimdo Shopify Shopware Gambio Magento etc
Antworten
Tony
Beiträge: 2514
Registriert: 21. Sep 2008 15:58
Land: Deutschland
Wohnort: 40000

Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Vorabinfo: Wir haben ein selbst entwickeltes Shopsystem.

Vor ein paar Wochen bekam ich eine Mail auf englisch mit dem Text

"Hello,
My name is [name]. I am an individual Web Security Researcher.
I have found a Vulnerability in [meine webseite]
So, how can I report this vulnerability to your Webmaster or Security Team?
Thanks"

Die ganze Mail wirkte also nicht besonders seriös aber es war eben auch keine typische Spammail.
Also haben wir geantwortet "ok, welche Sicherheitslücke hast Du denn gefunden?"

Da kam dann eine etwas professionellere Mail mit der Fehlerbeschreibung, Bescheibung des möglichen Hacks/der Technik und einem Proof-Of-Concept Video.
Es ging um eine CSS-Injection über unsere Suchfunktion. Sehr speziell und auch nicht mit dramatischen Folgen, also Zugriff zur Datenbank oder ähnlichem.
Wir haben die Lücke geschlossen und er hat das dann bestätigt und nach einem Reward gefragt.

Wir haben ihm dann etwas Geld per Paypal geschickt.

Ein paar Tage später kam dann die nächste Mail mit der Beschreibung einer weiteren Sicherheitslücke.
NOCH spezieller als die erste. Es ging um die Möglichkeit der Änderung der Mailadresse aus dem Kundenkonto durch einen Angreifer - aber nur, wenn der Kunde, der gerade eingeloggt ist, einen manipulierten Link anklickt.
Das ist schon sehr weit hergeholt. Andererseits haben wir auch hier wieder etwas gelernt und statten solche Kontoänderungsfunktionen jetzt mit mehr "Sicherheitstechnik" aus.

Natürlich fragt er wieder nach einem Reward. Soll er auch bekommen.

Keine Ahnung, irgendwie sind es ja wertvolle Informationen, trotzdem habe ich ein seltsames Gefühl dabei, irgendeiner Masche auf den Leim zu gehen.
Was haltet ihr davon, hatte sowas schonmal jemand?


3 Monate gratis Händlerbund
regalboy
Beiträge: 9996
Registriert: 23. Feb 2008 18:30

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Wie viel Reward habt ihr ihm gesendet?

Ich denke vermute nichts böses, sondern eine neue kreative und nicht betrügerische Art, den Lebensunterhalt als Programmierer zu bestreiten.

Wenn - nur als Beispiel - der indische Programmierer eigentlich 10,- Euro am Tag als Arbeiter verdienen würde und ihr ihm 100,- Euro gesendet habt, und auch nur jeder 3. bezahlt, dann hat er trotzdem einen ganz ansehnliches Einkommen und tut wie gesagt noch etwas Gutes dabei.
kreien
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3618
Registriert: 5. Jul 2015 13:06
Land: Deutschland

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Grundsätzlich ist das eine gute Sache, andere Softwerker beschäftigen ja durchaus kostenpflichtig Pen-Tester oder White-Hat-Hacker. Ich habe auch schon Softwarefehler und Sicherheitslücken gemeldet, ich würde aber nie auf die Idee kommen, dafür Geld zu erwarten – wenn sich jemand vom Fach damit beschäftigt, ist das Reward genug.

Wenn solche Hinweise nützlich sind, dann wäre ein Bug-Bounty-Programm (https://de.wikipedia.org/wiki/Bug-Bounty-Programm) ein geordneter Rahmen, der auch ein Budget und klare Regeln hat. Das Vorhandensein eines solchen Programms würde auch einen Verweis auf ein bereits erschöpftes Budget oder eine ungeeignete Fehlerkritikalität ermöglichen. :gruebel:
Benutzeravatar
koshop
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 6566
Registriert: 4. Sep 2012 13:23

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Naja, besser als wenn derjenige die Sicherheitslücke ausnutzt. Seh ich jetzt grundsätzlich nichts negatives dabei.
Benutzeravatar
Fotoshooter
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1689
Registriert: 25. Okt 2016 13:46

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

koshop hat geschrieben: 18. Aug 2022 14:05 Naja, besser als wenn derjenige die Sicherheitslücke ausnutzt. Seh ich jetzt grundsätzlich nichts negatives dabei.
Denke ich auch. Und wenn die Überweisung überschaubar war dann lohnt es sich sogar. So jemand sollte man sich dann warm halten... Willst Du den Kontakt eventuell teilen? saufen
Tony
Beiträge: 2514
Registriert: 21. Sep 2008 15:58
Land: Deutschland
Wohnort: 40000

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Danke Euch für die Einschätzung. Ok, ich gehe dann auch davon aus, dass er keine schlechten Absichten hat.

Summe möchte ich hier nicht nennen. Da muß man einfach überlegen, wie viel einem die jeweilige Information wert ist.
Benutzeravatar
hkhk
Beiträge: 8484
Registriert: 30. Jun 2011 15:32

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

von "Microsoft" rufen auch immer Inder an, die einen auf eine Schwachstelle aufmerksam machen....
Nur ein toter Putin ist ein guter Putin
Benutzeravatar
hissenit
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 465
Registriert: 16. Mär 2021 15:52
Land: Deutschland
Firmenname: Hissen IT
Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
Wohnort: Bensheim / Südhessen
Kontaktdaten:

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Das ist ziemlich normal und zeigt nur eure Sichtbarkeit. Große Firmen haben da das schon genannte Bug Bounty im Einsatz. Wenn ihr die Lücken sogar nachvollziehen und schließen könnt, wisst ihr ja, dass es kein Fake ist.
Es gibt allerdings Leute, die einfach nur Scan-Tools laufen lassen und deren Reports einreichen. Die Lücke mit der Mailadresse spricht aber dagegen und dafür, dass er sich mit eurem Shop beschäftigt hat.
PaketConnector und InvoiceCreator: Lösungen für kleine und mittelständische Unternehmen https://hissenit.com/pcic
Benutzeravatar
dlnkrg1511
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 190
Registriert: 22. Dez 2020 11:57
Land: Deutschland
Firmenname: Krieger Labs
Branche: Webentwicklung & E-Commerce Service
Kontaktdaten:

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Lieber eine Information mehr und paar Euronen weniger, als geleakte Kundendaten und Skandal
Webentwicklung & E-Commerce Hosting 👨‍💻
Benutzeravatar
arnego2
Beiträge: 477
Registriert: 6. Apr 2021 13:19
Land: Deutschland
Firmenname: Arnego2 LtD
Branche: Web & SEM
Kontaktdaten:

Re: Inder macht mich auf Sicherheitslücken aufmerksam und möchte "Reward"

Wobei nicht alle Vulnerablities so einfach auzunutzen sind.
Antworten

Zurück zu „Shopsysteme“

  • Information