Post hat fast eine Million an Bug-Bounty-Prämien ausbezahlt
Seit 2020 läuft das offizielle Bug-Bounty-Programm der Post. Mit Erfolg, denn rund 3000 Schwachstellen wurden bis jetzt gemeldet.
E-Voting: Post zieht Bilanz zum Public Intrusion Test
8. August 2024 um 12:07
Fast 7000 ethische Hacker haben sich am Intrusionstest der Post beteiligt. Daraus resultierte lediglich ein einziger bestätigter Befund.
Vom 17. Juni bis zum 3. Juli hat die Schweizerische Post erneut einen Public Intrustion Test (PIT) durchgeführt. Laut einer Mitteilung haben sich fast 7000 Computerspezialistinnen und -spezialisten aus der ganzen Welt daran beteiligt und versucht, das E-Voting-System der Post zu knacken. Genauer gesagt, hat die die Post Angriffsversuche von 6923 IP-Adressen verzeichnet. Davon wiesen Mitteilung 146 Teilnehmende eine hohe Aktivität aus, mit mehr als 50 Zugriffen auf den E-Voting-Server während der Dauer des Testes.
Für den PIT stehe eine exakte Kopie der produktiven Umgebung des Systems zur Verfügung. Die Teilnehmenden hätten rund 29'000 Mal auf das System zugegriffen, wovon knapp 10'000 als Angriffsversuche zu werten seien, so die Post.
Ein bestätigter Befund
Im Rahmen des PITs sind laut der Mitteilung vier Meldungen eingegangen. Davon hat die Post demnach einen Befund bestätigt und mit dem Schweregrad "tief" bewertet. Der Befund habe keine sicherheitsrelevanten Aspekte betroffen, schreibt der E-Voting-Anbieter. Er würde eine Verbesserung in der Kommunikation zwischen den Servern aufzeigen, womit zeitgleiche Abfragen verunmöglicht werden. Man habe die Verbesserung im Voting-Server umgesetzt, so die Post.
Die Meldung ist mit 1500 Franken von der Post belohnt worden. Weil diese Person zudem den ersten bestätigten Befund gemeldet hat, erhielt sie zusätzlich einen Bonus von 3000 Franken.
Beteiligte aus der ganzen Welt
Im Verlaufe des PITs stellte die Post Zugriffe aus 62 Ländern fest, geht aus der Mitteilung hervor. Die meisten Angriffsversuche erfolgten aus den USA (19%), gefolgt von der Schweiz und Frankreich (je 12%).
Zur Ankündigung des PITs hiess es, dass die öffentliche Überprüfung des E-Voting-Systems zentral bleibe. Wenn das System stetig überprüft werde, könne man potenzielle Sicherheitslücken frühzeitig schliessen. Je eingehender ein IT-System geprüft werde, desto weniger Schwachstellen weise es also auf, was aber gleichzeitig die Suche nach Schwachstellen anspruchsvoller macht. Deshalb hat der Anbieter beim aktuellen Test die Belohnungen erhöht. Für kritische Schwachstellen zahlt die Post bis zu 50'000 Franken. Gelingt es einer Person, den elektronischen Urnengang unbemerkt zu manipulieren, erhält sie bis zu 250'000 Franken.
Update (15.20 Uhr): Zur Präzisierung wurden weitere Zahlen am Ende des ersten Absatzes ergänzt.
Loading
Microsoft Schweiz ernennt Services Lead
Mohamad Ali Mahfouz soll als Mitglied der Geschäftsleitung unter anderem das Cloud- und KI-Business ausbauen und die Kundenbeziehungen vertiefen.
Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"
Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.
BLKB lässt Radicant-Abschreiber extern untersuchen
Über 100 Millionen Franken musste die Basellandschaftliche Kantonalbank bei ihrer Digitaltochter abschreiben. Jetzt sollen die Hintergründe dazu beleuchtet werden.