SBB lancieren öffentliches Bug-Bounty-Programm
Die SBB haben ihr Bug-Bounty-Programm öffentlich gemacht. Ethische Hacker werden aufgerufen, die Websites des Bundesbetriebs nach Schwachstellen zu durchforsten.
![(Source: Foto-Ruhrgebiet / Fotolia.com)](https://d1leteosk75kgr.cloudfront.net/styles/np8_full/s3/media/2023/02/17/foto-ruhrgebiet-fotolia_43333113_l.jpg?itok=8oCsRLCX)
Ethische Hacker sind aufgerufen, die Websites der SBB auf Herz und Nieren zu testen. Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet, wie "Inside-IT" berichtet. Das Programm wird auf der Plattform "Intigriti" gehostet. Laut den auf der Seite zugänglichen Informationen wurde das Programm bereits im Oktober 2022 lanciert.
Gesucht werden vor allem Wege, die potenzielle Angreifer nutzen könnten, um Nutzerdaten zu stehlen oder zu manipulieren. Aktuell werden die folgenden Domains untersucht:
- www.swisspass.ch
- bahninfrastruktur.sbb.ch
- beta.sbb.ch
- bimchange.sbb.ch
- business.sbb.ch
- www.elvetino.ch
- www.sbbcargo.com
- www.transsicura.ch
Weitere Domains und Applikationen sollen im späteren Projektverlauf hinzukommen.
Bis zu 4000 Euro Belohnung
Wer eine Schwachstelle mit dem Rating "Aussergewöhnlich" auf swisspass.ch entdeckt, dem winkt eine Belohnung von 4000 Euro. Auf den anderen Plattformen winkt eine Belohnung von 2000 Euro.
Gemäss dem Intigriti-Leaderboard wurde bislang eine Schwachstelle mit dem Rating "Hoch" entdeckt, und zwar vom User "barantivirus". Dafür winkt eine Auszahlung von 500 Euro, wenn es sich um eine Swisspass.ch-Schwachstelle handelt, ansonsten liegt die Belohnung bei 250 Euro.
Wie viel Geld die SBB bislang ausgezahlt haben, ist nicht bekannt, auch wie lange das Programm noch weiterläuft ist unklar.
Mit Schwachstellen, die Kundendaten gefährden, haben die SBB bereits negative Erfahrungen gemacht. Erst im Januar 2022 hatte man eine Sicherheitslücke geschlossen, welche es einem Sicherheitsforscher möglich gemacht hatte, Daten von einer halben Million Swisspass-Kunden zu stehlen. Das Transportunternehmen wusste seit 2018 von der Schwachstelle, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![Nadav Zafrir übernimmt im Dezember 2024 das Amt des CEO bei Check Point. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/check_point_nadav_zafrir_k.jpg?itok=ljYyRVBb)
Check Point hat einen neuen CEO
![(Source: DC Studio/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Micha Brändli / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Teresa Anania übernimmt den Posten der CCO bei Sophos. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/teresaanania_sophos-cco_2024_0_1.jpg?itok=w6olj5FE)
Sophos beruft neue Chief Customer Officer
![(Source: pch.vector/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/error.jpg?itok=eWCuhz6i)
Ein Bug hat zur IT-Panne geführt
![(Source: ryanking999 / stock.adobe.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/adobestock_367433824.jpg?itok=VU5IoZQ0)
Play-Ransomware hat es auf Linux abgesehen
![(Source: OrsiO / Pixabay.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/ausschnitt-bosa_logo.jpeg?itok=z9m78w7s)
Darum lohnt sich die Teilnahme bei Best of Swiss Apps
![(Source: Kasia Derenda / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: Growtika / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/growtika-rzv8t2yvu6m-unsplash.jpg?itok=8_fpjHyL)