SBB lancieren öffentliches Bug-Bounty-Programm
Die SBB haben ihr Bug-Bounty-Programm öffentlich gemacht. Ethische Hacker werden aufgerufen, die Websites des Bundesbetriebs nach Schwachstellen zu durchforsten.
Ethische Hacker sind aufgerufen, die Websites der SBB auf Herz und Nieren zu testen. Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet, wie "Inside-IT" berichtet. Das Programm wird auf der Plattform "Intigriti" gehostet. Laut den auf der Seite zugänglichen Informationen wurde das Programm bereits im Oktober 2022 lanciert.
Gesucht werden vor allem Wege, die potenzielle Angreifer nutzen könnten, um Nutzerdaten zu stehlen oder zu manipulieren. Aktuell werden die folgenden Domains untersucht:
- www.swisspass.ch
- bahninfrastruktur.sbb.ch
- beta.sbb.ch
- bimchange.sbb.ch
- business.sbb.ch
- www.elvetino.ch
- www.sbbcargo.com
- www.transsicura.ch
Weitere Domains und Applikationen sollen im späteren Projektverlauf hinzukommen.
Bis zu 4000 Euro Belohnung
Wer eine Schwachstelle mit dem Rating "Aussergewöhnlich" auf swisspass.ch entdeckt, dem winkt eine Belohnung von 4000 Euro. Auf den anderen Plattformen winkt eine Belohnung von 2000 Euro.
Gemäss dem Intigriti-Leaderboard wurde bislang eine Schwachstelle mit dem Rating "Hoch" entdeckt, und zwar vom User "barantivirus". Dafür winkt eine Auszahlung von 500 Euro, wenn es sich um eine Swisspass.ch-Schwachstelle handelt, ansonsten liegt die Belohnung bei 250 Euro.
Wie viel Geld die SBB bislang ausgezahlt haben, ist nicht bekannt, auch wie lange das Programm noch weiterläuft ist unklar.
Mit Schwachstellen, die Kundendaten gefährden, haben die SBB bereits negative Erfahrungen gemacht. Erst im Januar 2022 hatte man eine Sicherheitslücke geschlossen, welche es einem Sicherheitsforscher möglich gemacht hatte, Daten von einer halben Million Swisspass-Kunden zu stehlen. Das Transportunternehmen wusste seit 2018 von der Schwachstelle, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Betrüger locken mit angeblicher AHV-Ergänzungsleistung
Ständerat will ein Impulsprogramm für digitale Souveränität
Der Rat von Elrond diskutiert die Fussball-WM
Exclusive Networks lanciert IT-Sicherheits-Angebot mit Netskope
Elmo im Teilchenbeschleuniger
Cyberkriminelle nutzen kritische Ivanti-Lücke aus
Remcos RAT setzt auf DonutLoader: Neue Angriffskette entdeckt
Wie Cyberkriminelle die Fussball-WM als Köder einsetzen
Wurm mit Heisshunger auf Open-Source-Ökosysteme wird selbst Open Source
