SBB lassen nette Hacker auf den Swisspass los

16. Februar 2023 um 10:28
  • security
  • sbb
  • bug bounty
  • datenschutz
image
Foto: Patrick Federi / Unsplash

Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet. Ethische Hacker können bis zu 4000 Euro für eine Lücke einstreichen.

Die SBB haben ein Bug-Bounty-Programm lanciert, in dem nach Möglichkeiten zum Klau von Userdaten und zur Datenmanipulation gesucht werden soll. Als Ziele der freundlichen Hacker haben die SBB die Bereiche Swisspass.ch, SBB Cargo und eine Preview-Version der neuen SBB-Website zugelassen. Gehostet wird das Programm auf der Bug-Bounty-Plattform "Intigriti".
In der Vergangenheit haben sich die SBB nicht nur mit Ruhm bekleckert: Im Januar 2022 hatte der Bahnbetrieb eine Lücke geschlossen, die Millionen Kundendaten gefährdete, ein Sicherheitsexperte konnte Teile davon testweise herunterladen. Offenbar waren die SBB seit 2018 mehrfach auf das Problem hingewiesen worden.
Damit habe das Programm aber nichts zu tun, erklären die SBB auf Anfrage. Vielmehr laufe dieses bereits seit einigen Jahren und sei im Rahmen allgemeiner Cyberaktivitäten aufgebaut worden. "Die SBB investiert schon länger jährlich einen zweistelligen Millionenbetrag in Cybersecurity und eine entsprechende Cyberstrategie wird konsequent umgesetzt", heisst es aus dem Bundesbetrieb.
Tatsächlich haben die SBB schon lange eine Vulnerability Disclosure Policy veröffentlicht, ein Regelwerk, nach dem ethische Hacker ihre Befunde melden können. Auch ein Bug-Bounty-Programm, also die Prämierung von Funden, läuft schon eine Weile, allerdings lange als geschlossenes Unterfangen. Im letzten Herbst wurde es geöffnet.
"Wie bei grossen Firmen üblich, startete das Bug Bounty als 'Closed' und wurde erst nach dem Testing im kontrollierten Rahmen auf 'Open' umgestellt", schreibt die Pressestelle. Wer einen Account auf Intigriti besitzt und von dem Plattformbetreiber geprüft wurde, kann also Jagd auf Lücken machen.

Ein Finding der Stufe "hoch"

Für den Swisspass – das Kronjuwel der Kundenbindung und "den ersten Schritt in eine neue Ära des öffentlichen Transports" – versprechen die SBB Belohnungen bis zu 4000 Euro. Für SBB Cargo und den Preview der neuen Website sind Prämien zwischen 75 und 2000 Euro ausgelobt. Das Leaderboard führt ein User namens "Barantivirus" an, der ein Problem der Stufe "hoch" gefunden hat. Wie viel Geld bereits gesprochen wurde, wollen die SBB nicht preisgeben.
Man soll keine Befunde öffentlich diskutieren oder publizieren, heisst es in den Bestimmungen des Programms. Verboten sind DDoS-Attacken, Brute-Force-Angriffe, Social Engineering, Spam sowie physische Angriffe. Auch automatische Scanner oder Angriffe in veralteten Browsern sind nicht zugelassen. Wer sich an die Regeln hält, soll innerhalb von zwei Wochen eine Antwort der Bug-Bounty-Programmmacher erhalten, versprechen die Verantwortlichen.

Loading

Mehr erfahren

Mehr zum Thema

image

Schwerwiegende Lücke in OpenSSH entdeckt

Angreifer können sich aus der Ferne Zugriff auf Systeme verschaffen und beliebigen Code ausführen.

publiziert am 2.7.2024
image

Cyberangriff auf Teamviewer

Das Unternehmen hat den Angriff bestätigt. Es gebe keine Anzeichen, dass Kundendaten kompromittiert worden seien.

publiziert am 28.6.2024
image

Das NTC veröffentlicht Schwachstellen

Das Nationale Testinstitut für Cybersicherheit wird auf seinem "Vulnerability Hub" in Zukunft die von ihm gefundenen Schwachstellen veröffentlichen.

publiziert am 28.6.2024
image

Podcast: Die Migros verschlüsselt ihre Kronjuwelen

Quantencomputing gibt Cyberkriminellen mehr Macht, worauf sich Unternehmen vorbereiten müssen. Als eines der ersten in der Schweiz hat die Migros damit begonnen. Das diskutieren wir in dieser Episode.

publiziert am 28.6.2024 1