SBB lancieren öffentliches Bug-Bounty-Programm
Die SBB haben ihr Bug-Bounty-Programm öffentlich gemacht. Ethische Hacker werden aufgerufen, die Websites des Bundesbetriebs nach Schwachstellen zu durchforsten.
Ethische Hacker sind aufgerufen, die Websites der SBB auf Herz und Nieren zu testen. Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet, wie "Inside-IT" berichtet. Das Programm wird auf der Plattform "Intigriti" gehostet. Laut den auf der Seite zugänglichen Informationen wurde das Programm bereits im Oktober 2022 lanciert.
Gesucht werden vor allem Wege, die potenzielle Angreifer nutzen könnten, um Nutzerdaten zu stehlen oder zu manipulieren. Aktuell werden die folgenden Domains untersucht:
- www.swisspass.ch
- bahninfrastruktur.sbb.ch
- beta.sbb.ch
- bimchange.sbb.ch
- business.sbb.ch
- www.elvetino.ch
- www.sbbcargo.com
- www.transsicura.ch
Weitere Domains und Applikationen sollen im späteren Projektverlauf hinzukommen.
Bis zu 4000 Euro Belohnung
Wer eine Schwachstelle mit dem Rating "Aussergewöhnlich" auf swisspass.ch entdeckt, dem winkt eine Belohnung von 4000 Euro. Auf den anderen Plattformen winkt eine Belohnung von 2000 Euro.
Gemäss dem Intigriti-Leaderboard wurde bislang eine Schwachstelle mit dem Rating "Hoch" entdeckt, und zwar vom User "barantivirus". Dafür winkt eine Auszahlung von 500 Euro, wenn es sich um eine Swisspass.ch-Schwachstelle handelt, ansonsten liegt die Belohnung bei 250 Euro.
Wie viel Geld die SBB bislang ausgezahlt haben, ist nicht bekannt, auch wie lange das Programm noch weiterläuft ist unklar.
Mit Schwachstellen, die Kundendaten gefährden, haben die SBB bereits negative Erfahrungen gemacht. Erst im Januar 2022 hatte man eine Sicherheitslücke geschlossen, welche es einem Sicherheitsforscher möglich gemacht hatte, Daten von einer halben Million Swisspass-Kunden zu stehlen. Das Transportunternehmen wusste seit 2018 von der Schwachstelle, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie Betrüger alte Domains von Unternehmen missbrauchen
Best of Swiss Web 2026: Das war der Jurytag
Wie man mit Fake-Profilen umgehen soll
Typisch Männerfreundschaften
Update: Microsoft erweitert Sovereign-Cloud-Angebot mit Offline-Modus
Init7 streitet mit Behörden um DNS-Sperren
Diese Volksinitiative will digitale Plattformen zu mehr Verantwortung verpflichten
Petition fordert stärkere Plattformregulierung gegen betrügerische Werbung
Cyberangriffe in 2026 - automatisiert, identitätsbasiert und KI-beschleunigt
