Wenn Einhörner zu schnell traben: Lektionen aus den Fehltritten eines Startups beim Bug Bounty

Cyber Security News

Clubhouse hat, wie viele wachstumsstarke Unternehmen, ein Bug Bounty Programm gestartet, bevor es die nötige Infrastruktur oder Expertise hatte, um es zum Laufen zu bringen, sagt ein Forscher. (Marco Verch Berufsfotograf/ CCC BY 2.0)

Clubhouse hat es in nur einem Jahr von der Nichtexistenz zu einer Bewertung von 4 Milliarden Dollar gebracht. Aber, wie Bug Bounty Guru und Luta Security CEO Katie Moussouris in einem neuen Blog beschreibt, hat dieses schnelle Wachstum das Unternehmen auf eine häufige Sicherheitsfalle vorbereitet.

Interessant ist, dass dieses Sicherheitsproblem nicht mit Schwachstellen zusammenhängt – obwohl Moussouris zwei beschreibt, die sie für die aufkeimende Social-Media-App aufgedeckt hat und die jetzt gepatcht wurden. Vielmehr hat Clubhouse, wie viele wachstumsstarke Unternehmen, ein Bug-Bounty-Programm gestartet, bevor es die notwendige Infrastruktur oder Expertise hatte, um es zum Laufen zu bringen.

Es ist kein seltenes Problem, aber, so Moussouris, es ist ein vermeidbares. SC Media sprach mit ihr über Bug Bounties in wachstumsstarken Unternehmen mit Clubhouse als Fallbeispiel.

Leute, die an einer detaillierteren Beschreibung der Schwachstellen interessiert sind, oder an einem Video, in dem Ihre Katze hilft, sie zu demonstrieren, können das in Ihrem Blog bekommen. Aber können Sie die Leute auf dem Laufenden halten?

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2018/07/0716-f-qa-katie-moussouris-2_997494_997495.jpg]Katie Moussouris, Luta Security

Katie Moussouris: Ich bin der App beigetreten, kurz bevor ich beschlossen habe, etwas zu hacken. Es gab einige API-Probleme, es gab auch ein separates Problem mit Audio, das durch einen Audio-Anbieter in China geleitet wurde, und es gab ein paar Sicherheitsprobleme in der Art. Was ich durch andere Benutzer im Clubhouse hörte, war, dass eines der Dinge, die einige der folgenden Probleme beheben sollten [the API] Probleme beheben sollte, war, dass die Benutzer sich ausloggen und wieder in die App einloggen mussten.

Ich dachte: “Das scheint seltsam zu sein. Warum wird nicht jeder gezwungen, sich abzumelden, wenn das tatsächlich eine technische Lösung ist. Ich frage mich, was sonst noch passiert.” Ich hatte ein Ersatz-iPhone, und bevor ich mich abmeldete und wieder auf meinem Haupttelefon anmeldete, beschloss ich, nur um zu sehen, ob es Sie sofort von einem Gerät abmelden würde, wenn Sie ein zweites Telefon registrieren, wie andere Apps [usually do]. Und [I thought], lassen Sie mich auf einem Telefon mit einer frischen Installation anmelden, weil das die neueste Version der App sein sollte.

Ich meldete mich auf dem zweiten Telefon an, und anstatt mich komplett auszuloggen, zeigte mir Clubhouse den Willkommensbildschirm an, während ich auf dem ersten Telefon noch verbunden war. Da war also eindeutig etwas falsch. Ich habe ein paar Experimente gemacht und herausgefunden, dass ich mit dem zweiten Telefon völlig neuen Räumen beitreten konnte und tatsächlich auf beiden Telefonen Audio hören konnte, also war ich definitiv noch in beiden Räumen. Und wenn ich in diesem ersten Raum Sprecherrechte hatte, konnte ich auch dann noch sprechen, wenn ich den Raum mit dem zweiten Telefon verließ, obwohl mein Avatar verschwunden war.

Das ist ziemlich bezeichnend für eine App, bei der die Benutzer versprechen müssen, nichts aufzuzeichnen.

Ich weiß, dass es viele Räume gibt, in denen Menschenrechtsverteidiger und Journalisten in die App einsteigen und reden, weil die Nutzungsbedingungen der App besagen, dass es nicht okay ist, aufzunehmen. Viele dieser Benutzer hatten ein falsches Gefühl der Sicherheit.

Aber als Sie versuchten, über das Problem zu berichten, begannen die Dinge schief zu gehen. In Ihrem Blog schreiben Sie das zum Teil den Problemen zu, die viele schnell wachsende Unternehmen haben. Was ist hier passiert?

Als ich mit den Leuten von Clubhouse sprach, sagten sie, dass sie tatsächlich in die Sicherheit investiert und Penetrationstester eingestellt hatten. Aber die Tatsache, dass sie ein privates Bug Bounty gestartet hatten, bevor sie ihr Ingenieursteam intern aufgefüllt hatten – das sagte mir, dass sie die Dinge nicht in Ordnung hielten.

Obwohl ihr Bug Bounty privat ist, habe ich Wochen gebraucht, um den richtigen Ansprechpartner zu erreichen, weil sie keinen Ansprechpartner auf der Webseite haben. Dort steht kaum etwas; es gibt vielleicht einen Support-Kontakt. Am Ende habe ich, wie jeder Forscher, gegoogelt: “Wie melde ich ein Sicherheitsproblem an Clubhouse”.

Die E-Mail-Adresse, die ich zurückbekam und an die ich den ersten Bericht schickte, gehörte eigentlich zu einer anderen Firma. Es war eine Art Projektmanagement-Firma, die auch Clubhouse heißt. Und weil ich sie über die Google-Suche gefunden hatte, sah ich, dass sie eine Offenlegungsrichtlinie hatten. Ich dachte, in Ordnung, ich schicke es einfach ab. Ich meine, das war ein großer Fehltritt. Nicht von mir, sondern von Clubhouse, weil sie sich nicht an die ISO-Norm gehalten haben und nicht klar gemacht haben, wie man eine Sicherheitslücke melden kann. Es gab keine Möglichkeit, sie als allgemeines Mitglied der Öffentlichkeit zu melden, und wegen der unglücklichen Namenskollision mit einer anderen Firma landete der Fehlerbericht im Posteingang eines anderen Unternehmens. Ich habe es erst am nächsten Tag erfahren, als diese Firma sich bei mir gemeldet hat.

Also kam ich erst nach einigen Tagen dazu, nach den richtigen Kontakten zu suchen. Selbst dann bekam ich eine automatische Antwort. Um einen Menschen zu erreichen, musste ich darauf hinweisen, dass sie eine 45-tägige Offenlegungsfrist haben, die an dem Tag begann, an dem ich zum ersten Mal versucht habe, es ihnen zu melden, als ich es an die falschen Leute geschickt habe, denn ehrlich gesagt ist das das wahre Zeitfenster, in dem ihre Kunden gefährdet sind. Ich habe es so schnell wie möglich gemeldet. Aber die Verzögerung beim Schutz der Benutzer lag komplett an ihnen, da sie keine solide Kontaktmöglichkeit hatten. [the company]. Das war, als der erste Mensch zurückkam und sich für die Verzögerung entschuldigte. Wir sind ein kleines Unternehmen, wir sind immer noch dabei, unser Team aufzubauen.

Wie können Sie das für wachstumsstarke Start-ups verallgemeinern, die in die Offenlegung oder Bounties einsteigen?

Wenn man mit der Entwicklung von Software anfängt, wird man Bugs haben. Einige dieser Bugs werden Sicherheitslücken sein. Und bevor Sie überhaupt daran denken, ein Bug Bounty Programm zu haben, muss es einen klaren Weg für Leute geben, Sie zu kontaktieren, um eine Sicherheitslücke zu melden, falls sie über eine stolpern. Es hat leicht ein paar Wochen gedauert, wenn nicht sogar länger, bis der Bug-Report an die wenigen Techniker, die sie hatten, weitergeleitet wurde.

Ich weiß, dass Sie eine kleine Firma sind, ich kann nachempfinden, dass Sie ein Startup sind und versuchen, etwas aufzubauen. Aber Sie sind zu gut finanziert und zu beliebt bei den Nutzern, um wirklich in der Verleugnungsphase der fünf Stufen der Reaktion auf eine Sicherheitslücke zu sein.

Hacker achten auf die milliardenschwere Bewertung, nicht darauf, wie wenige Ingenieure Sie haben, um Probleme zu lösen.

Richtig, und was sie mir sagten, war, dass es sogar weniger Leute sind.

Als sie sich bei mir zurückmeldeten, sagten sie, es sei behoben, und ich ging wieder rein, um es zu testen. Was interessant war, war, dass man immer noch einem zweiten Raum beitreten konnte und es so aussah, als wäre man in mehr als einem Raum. Sie erklärten mir, dass dies ein separates Problem sei; es handele sich um ein Problem mit der Cache-Latenz in der Feed-Display auf dem Client. Sie sagten, dass man eigentlich abgemeldet ist, aber der Feed eine kleine Weile braucht, um aufzuholen.

Dann haben wir daran gearbeitet, den Blog zu koordinieren.

Gab es noch andere Themen, von denen man lernen konnte?

Ich hatte eine offene Frage an sie. Als sie mich zu dem privaten Bug Bounty Programm einluden, sagte ich: “Nun, wissen Sie, ich und andere ernsthafte Forscher lehnen normalerweise die Anforderung einer Geheimhaltungsvereinbarung ab.” Aber ich sagte: “Wenn es sich nach Ihren Programmregeln für ein Kopfgeld qualifiziert, können Sie es bitte an die Pay Equity Now Stiftung spenden?”

Schneller Vorlauf zu [when] Ich habe ihnen meinen Blog gezeigt; ich wollte ihnen ein nettes Lob aussprechen, dass sie mein Kopfgeld gespendet haben. Aber sie konnten mir keinen Betrag nennen. Sie sagten: “Unsere Bug-Bounty-Plattform hat sich noch nicht mit einem empfohlenen Bounty zurückgemeldet.” Das sollte nicht etwas sein, für das Ihre Bug-Bounty-Plattform mehr als eine Stunde braucht, um es herauszufinden.

Etwas, von dem andere Firmen lernen können, ist nicht zu denken, dass ein Bug Bounty Programm, selbst bei einer der großen Plattformen, die meisten Probleme lösen wird. Und, offen gesagt, wird es auch nicht die Probleme mit der Geheimhaltung lösen, wenn Sie etwas haben, auf dem Sie sitzen und ein Forscher es ernst meint, es zu beheben oder die Öffentlichkeit zu warnen. Es gibt viele Forscher, genau wie mich, denen die Bounty-Plattformen nichts bringen. Und ich denke, dass es diese Forscher sind, die Sie mit Ihnen arbeiten lassen wollen, weil sie die extrem erfahrenen sind. Sie wollen sie nicht entfremden, indem Sie sie zu irgendeiner willkürlichen Plattform zwingen, die offensichtlich einige Probleme mit der Verzögerung hat, wenn man bedenkt, dass sie nicht mit einem Kopfgeldbetrag für ein Problem aufwarten konnten, das schon seit einer Weile behoben ist.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com