Unseriöse Bug-Bounty-Jäger: Geld ohne Gegenleistung

In jüngster Zeit treten vermehrt Kriminelle auf, die sich als Sicherheitsforschende ausgeben. Sie nehmen Kontakt zu Unternehmen auf und behaupten, Sicherheitslücken oder gestohlene Zugangsdaten gefunden zu haben. Dafür verlangen Sie eine Belohnung – möglicherweise im Rahmen eines Bug-Bounty-Programms. Die vorgelegten Zugangsdaten sind oft echt, stammen jedoch aus öffentlich zugänglichen Daten-Dumps, die beispielsweise auf Telegram veröffentlicht wurden. Quelle der Daten sind häufig sehr umfangreiche Listen, deren Aktualität und Korrektheit unklar ist.

Unternehmen, Interessenverbände, Behörden usw. können sogenannte Bug-Bounty-Programme ins Leben rufen. Ihr Ziel ist, Software-Fehler zu erkennen, zu beheben und zu veröffentlichen. Die Entdeckenden erhalten für ihre Tätigkeit Geld- oder Sachwerte als Anerkennung.

Die CSBW empfiehlt:

• Ignorieren Sie derartige Hinweise vermeintlicher Sicherheitsforschender.
• Wenn Sie reagieren wollen, prüfen Sie zuvor die vorgelegten Daten bzw. die vermeintlichen Sicherheitsforschenden gründlich.