GitHubs Bug Bounty Program: Review und Preview
GitHub hat in einem Blogpost eine Nach- und Vorschau auf das aktuelle Bug Bounty Program gegeben. Das Unternehmen hatte sich nach einer Häufung von Sicherheitsproblemen dazu entschlossen, ein Programm, das dem von Google ähnelt, ins Leben zu rufen. Und ein Review zeigt, dass diese Programm im vergangenen Jahr positiv angenommen und Schwachstellen aufgezeigt wurden. Aus diesem Grund hat das Unternehmen bekanntgegeben, das Programm auch in 2019 weiterzuführen.
Highlights aus 2018
Im vergangenen Jahr nahm GitHub an dem H1-702 Live-Hacking-Event von HackerOne teil. Dort wurden gleich mehrere Sicherheitslücken entdeckt, wie z.B. eine kritische Schwachstelle im GitHub Enterprise Server. Im Rahmen dieses Hackerevents zahlte GitHub nach eigenen Angaben für das Auffinden von Bugs an verschiedene Teilnehmer die Gesamtsumme von 75.000 USD aus.
Eine besondere Prämie erhielt der GitHub-Nutzer @kamilhism. Er stellte dar, wie die OAuth Access Policy (OAP) mit dem GraphQL API unter bestimmten Umständen umgangen werden kann. Durch dieses Sicherheitslücke wurden Zugangsberechtigungen bei Abfragen von Ressourcen nicht geprüft. Diese relevante Schwachstelle konnte geschlossen werden und der Finder erhielt von GitHub für seine Forschung und ein vollständiges Audit von GitHubs Autorisierungslogik für APIs ein Stipendium.
Erweiterung des Bug Bounty Programs geplant
Wie Turnbulls Blogpost berichtet, plant GitHub für das Jahr 2019 eine Erweiterung des aktuellen Bug Bounty Programs. Zu den GitHub Produkten, die in das Programm aufgenommen wurden, gehören ab sofort alle First-Party-Services auf github.com, githubapp.com und github.net sowie die GitHub Enterprise Cloud. Finden Nutzer hier Schwachstellen, werden Prämien bezahlt. So will GitHub die interne und externe Sicherheit verbessern.
Auch die Höhe der Prämien ist gestiegen. Abhängig von der Relevanz der Bugs werden zukünftig zwischen 617 und 30.000 USD gezahlt. Bei innovativer Forschung liegen die Prämien darüber. Die neue Safe Harbour Police schützt die akkreditierten Teilnehmer des Programms vor der Verfolgung durch Strafbehörden.