SBB lassen nette Hacker auf den Swisspass los

16. Februar 2023 um 10:28
  • security
  • sbb
  • bug bounty
  • datenschutz
image
Foto: Patrick Federi / Unsplash

Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet. Ethische Hacker können bis zu 4000 Euro für eine Lücke einstreichen.

Die SBB haben ein Bug-Bounty-Programm lanciert, in dem nach Möglichkeiten zum Klau von Userdaten und zur Datenmanipulation gesucht werden soll. Als Ziele der freundlichen Hacker haben die SBB die Bereiche Swisspass.ch, SBB Cargo und eine Preview-Version der neuen SBB-Website zugelassen. Gehostet wird das Programm auf der Bug-Bounty-Plattform "Intigriti".
In der Vergangenheit haben sich die SBB nicht nur mit Ruhm bekleckert: Im Januar 2022 hatte der Bahnbetrieb eine Lücke geschlossen, die Millionen Kundendaten gefährdete, ein Sicherheitsexperte konnte Teile davon testweise herunterladen. Offenbar waren die SBB seit 2018 mehrfach auf das Problem hingewiesen worden.
Damit habe das Programm aber nichts zu tun, erklären die SBB auf Anfrage. Vielmehr laufe dieses bereits seit einigen Jahren und sei im Rahmen allgemeiner Cyberaktivitäten aufgebaut worden. "Die SBB investiert schon länger jährlich einen zweistelligen Millionenbetrag in Cybersecurity und eine entsprechende Cyberstrategie wird konsequent umgesetzt", heisst es aus dem Bundesbetrieb.
Tatsächlich haben die SBB schon lange eine Vulnerability Disclosure Policy veröffentlicht, ein Regelwerk, nach dem ethische Hacker ihre Befunde melden können. Auch ein Bug-Bounty-Programm, also die Prämierung von Funden, läuft schon eine Weile, allerdings lange als geschlossenes Unterfangen. Im letzten Herbst wurde es geöffnet.
"Wie bei grossen Firmen üblich, startete das Bug Bounty als 'Closed' und wurde erst nach dem Testing im kontrollierten Rahmen auf 'Open' umgestellt", schreibt die Pressestelle. Wer einen Account auf Intigriti besitzt und von dem Plattformbetreiber geprüft wurde, kann also Jagd auf Lücken machen.

Ein Finding der Stufe "hoch"

Für den Swisspass – das Kronjuwel der Kundenbindung und "den ersten Schritt in eine neue Ära des öffentlichen Transports" – versprechen die SBB Belohnungen bis zu 4000 Euro. Für SBB Cargo und den Preview der neuen Website sind Prämien zwischen 75 und 2000 Euro ausgelobt. Das Leaderboard führt ein User namens "Barantivirus" an, der ein Problem der Stufe "hoch" gefunden hat. Wie viel Geld bereits gesprochen wurde, wollen die SBB nicht preisgeben.
Man soll keine Befunde öffentlich diskutieren oder publizieren, heisst es in den Bestimmungen des Programms. Verboten sind DDoS-Attacken, Brute-Force-Angriffe, Social Engineering, Spam sowie physische Angriffe. Auch automatische Scanner oder Angriffe in veralteten Browsern sind nicht zugelassen. Wer sich an die Regeln hält, soll innerhalb von zwei Wochen eine Antwort der Bug-Bounty-Programmmacher erhalten, versprechen die Verantwortlichen.

Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Luzerner Regierungsrat verteidigt M365-Einführung

Die Umstellung der Verwaltung auf Microsoft 365 hat zu einer Anfrage im Parlament geführt. Die Regierung äussert sich zu Datenschutz, Cloud und Alternativen.

publiziert am 1.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

Microsoft hat bei "Recall" nachgebessert

Das Feature für KI-PCs wurde heftig kritisiert, weshalb Microsoft über die Bücher musste. Neu gibt es eine Verschlüsselung und die Möglichkeit zur vollständigen Entfernung.

publiziert am 30.9.2024