Open Bug Bounty

Schon mal was davon gehört? Das ist eine Organisation, in der sich Hacker anmelden können. Die hacken sich durch das WideWeb und suchen Schwachstellen in Webseiten. Sobald sie sie gefunden haben, kriegt der Betreiber der Website eine Info, dass man da eine Schwachstelle gefunden habe. Man solle sich doch bitte mit dem Hacker in Verbindung setzen um zu erfahren, um welche Schwachstelle es sich handelt.

Der Hacker erwarte für seine Leistung natürlich eine “angemessene” Entlohnung, eine “Erpressung” ist aber gegen die Regeln von OpenBugBounty. Echt. Gegen die Regeln.

Die Mail geht an “Webmaster ät pen-and-tell.de”, eine Mailadresse, die auf der Website gar nicht angegeben ist. Sonderlich sorgfältig kann sich der Hackerkollege aus Indien nicht mit meiner Site auseinandergesetzt haben.

Kurze Recherche: Der Herr Pramod Kumar Yadav in Indien hat innerhalb von 10 Monaten insgesamt 52.000 Webseiten bei OpenBugBounty als angreifbar gemeldet. Er hat einen wunderbaren Twitter Account, auf dem man auch Tipps bekommen kann, wo man überall Bugs finden kann und wie man mehr Geld mit BugBountys machen kann.

Der Herr hat alleine gestern 1031 *.de-Domains angegriffen. Von peta.de über paulaner-brauhaus und erdbebenwarte.de bis zur Ernst Bloch Gesellschaft. Immer die gleiche Type “Improper Access Control”.

Die “Frankfurt School”, die er im Juli letzten Jahres gefunden hat, hat angeblich immer noch nicht gepatcht und existiert weiterhin. Auch oly-e.de, die er am 1.2. angemault hat, ist weiterhin “On Hold”, es bedeutet also, die Website ist in seinen Augen unsicher, obwohl er vermutlich aus Indien gar nicht mehr zugreifen kann, weil ich die meisten indischen Botnetzwerke gesperrt habe. Denn ernsthaft: 1031 Domains anzugreifen, das ist per Hand ne Leistung. Und nebenher noch twittern….

Ich habe mich bisher geweigert, pen-and-tell mit einem speziellen Sicherheitsplugin dicht zu machen. Aber wird wohl nichts anderes übrig bleiben.

(Meine Sicherheitslücke besteht darin, dass User, die versuchen, sich mit “admin” anzumelden, nicht sofort ausgesperrt werden. Kleines Problem für Hacker: Es gibt bei mir keinen User “admin”. Mein Administratoraccount hat einen anderen Namen. Aber den verrate ich natürlich nicht….. Diese Lücke kann ich natürlich schließen, so dass Hacker, die das versuchen, sofort gekickt werden. )

8 Replies to “Open Bug Bounty”

  1. Naja, zumindest nach RFC 2142 sollte es zu einer Domain “example.com”, auf der ein Webserver läuft, auch die E-Mail-Adresse “webmaster@example.com” geben. Aber natürlich stellt die Internetpolizei keinen Knollen aus, wenn das nicht der Fall ist.

    Höchstwahrscheinlich probiert Promod Kumar Yadav keine Websites händisch aus, sondern benutzt eine Scanner-Software, die das Internet nach verwundbaren Webseiten abklopft. Es reicht vermutlich schon, automatisiert bekannte Sicherheitslücken in älteren Versionen von Standardsoftware (WordPress, Joomla, …) auszuprobieren, und Open-Source-Programme, die das für einen erledigen, kann man problemlos finden. Dann ist auch noch Zeit, um nebenher ein bisschen zu twittern.

    1. Natürlich sind sämtliche Gerätschaften hier aktuell. Und die Vorgehensweise des Herrn ist schlicht in Deutschland eine Straftat. Der Besitz und die Verwendung solcher Hackertools sind in Deutschland verboten. Würde die Nase in Germany sitzen, würde sie bereits sitzen. Es geht hier darum, dass er versucht, sich als User anzumelden – und wenn er von der Software nicht sofort als Eindringling rausgeworfen wird, gilt die Site für ihn als “unsicher”. Und damit eine Berechtigung, dem freundlichen Besitzer eine entsprechende Ransom-Mail schicken zu lassen. Das ist in seinem Fall ein “Geschäftsmodell”.
      Ich habe das hier nur veröffentlicht, weil das innerhalb der nächsten Wochen wahrscheinlich so ziemlich jede de-Domain betrifft.

      1. Vielleicht verstehe ich ja etwas miss, aber: Glaubt dieser Mensch ernsthaft, es ist “Improper Access Control”, wenn er versucht, sich als (nicht existenter) Benutzer “admin” anzumelden, mutmaßlich mit einem beliebigen Kennwort, und daraufhin abgewiesen wird? Sorry, aber das ist das erwartete Verhalten. Man will nicht alle ungültigen Benutzernamen sofort (noch vor der Kennworteingabe) zurückweisen, weil das einem Cracker erlauben würde, nach dem Ausschlussprinzip die gültigen Benutzernamen zu ermitteln. Lernt man in “Rechnersicherheit 101”. Hoffentlich auch in Indien.

        Ich kann mir weder vorstellen, dass OpenBugBounty möchte, dass ihre Plattform mit Abertausenden von “Sicherheitslücken” solcher Qualität zugemüllt wird, noch dass irgend jemand bereit ist, für sowas ernsthaft eine Belohnung (“bounty”) zu zahlen. Wäre ich Adressat einer solchen Benachrichtigung, würde ich wohl mal höflich bei OpenBugBounty nachfragen, was die von der Sache halten. Sie sind in der Sache ja nur der Vermittler, und nach eigener Einlassung haben sie “a zero tolerance policy for any unethical or unlawful activities”.

        (Mal sehen, ob das Kerlchen eine von meinen Webseiten findet. Ich bin gespannt …)

        1. Eine Plattform, die keine Sicherung dagegen hat, dass jemand Abertausende solcher “Bugreports” innerhalb weniger Stunden hochlädt – und das seit einem Dreiviertel Jahr. Die sogar in ihren Mails mitteilt, dass man das überprüft habe und das sei alles OK – sorry, denen brauche ich doch keine Abuse-Mail schicken. Ich habe seinerzeit, als ich im oly-forum noch Hacker bekämpft habe, täglich ein halbes Dutzend abuse-Mails verschickt. Das habe ich dann bleibenlassen. Weil’s sinnlos ist. Man blockiert die Provider, die sich um die Botnetze nichts kümmern und gut ist. Es gibt sowieso keinerlei vorstellbaren Grund, warum ein Rechner aus der Amazon-Cloud oder ein Server von OVH an einem deutschen Forum über Fotografie mit Olympus-Kameras teilnehmen sollte.

  2. Wir machen bei unseren Systemen sog. PENTESTs, aber immer in Abstimmung mit dem betroffenen Systembetreiber! Dann geht man auch nicht ins Gefängnis.
    Ist aber erschreckend gewesen, was da schon mal bei rauskam. ;-(

    1. Kann auch sein. Wie auch immer – die Löcher sind jetzt dicht.
      Auf jeden Fall hast Du jetzt Anspruch auf einen Bounty…..

Leave a Reply

Your email address will not be published.