GitHub erweitert sein Bug-Bounty-Programm

GitHubs Bug-Bounty-Programm: Highlights aus 2018 und Änderungen für 2019 vorgestellt

Florian Roos

© Shutterstock / Lukiyanova Natalia frenta

Das GitHub Bug-Bounty-Programm war in den vergangenen Jahren sehr erfolgreich, wie das Unternehmen berichtet. Nun wurden ein Rückblick auf 2018 und eine Ankündigung zu den aktuellen Neuerungen am Programm veröffentlicht.

Nachdem im Jahr 2018 zahlreiche Schwachstellen und Sicherheitslücken in den verschiedenen Angeboten von GitHub gefunden wurden, will GitHub sein Bug-Bounty-Programm 2019 fortführen und erweitern. Zusammen mit der Ankündigung dieser Änderungen wurde auch auf einige Ereignisse aus der Bug-Jagd 2018 eingegangen.

Der GitHub-Nutzer @kamilhism fand heraus, wie die OAuth Access Policy (OAP) mit dem GraphQL API unter bestimmten Umständen umgangen werden kann. Durch die Abfrage eines öffentlichen Repositories am Ende eines Querys konnte erreicht werden, dass interne Kontrollvariablen nicht in allen Fällen zurückgesetzt werden. So war es möglich, dass Zugangsberechtigungen bei späteren Abfragen von Ressourcen nicht geprüft wurden. Wie Philip Turnbull (Appsec-Team, GitHub) in einem Blogpost schreibt, zahlte GitHub nach dieser und anderen Entdeckungen @kamilhism ein Stipendium für seine Forschung, damit dieser ein vollständiges Audit von GitHubs Autorisierungslogik für APIs durchführt.

Zahlreiche weitere Schwachpunkte in GitHub-Produkten wurden festgestellt, als sich GitHub an dem H1-702 Live-Hacking-Event von HackerOne beteiligte. Darunter war auch eine kritische Schwachstelle im GitHub Enterprise Server. Für die im Rahmen dieses Events gefundenen Bugs zahlte GitHub nach Turnbulls Angaben annähernd 75.000 US-Dollar Belohnungen an die beteiligten Eventteilnehmer aus.

GitHub erweitert sein Bug-Bounty-Programm

2019 wird das Bug-Bounty-Programm von GitHub erweitert. Ab sofort gehören laut Blogpost alle First-Party-Services, die unter der GitHub.com Domain gehosted werden, zum Bug-Bounty-Programm. Die GitHub Enterprise Cloud gehört ab sofort ebenfalls zu den GitHub-Produkten, die unter das Bug-Bounty-Programm fallen. Auch die die First-Party-Services unter den Domains githubapp.com und github.net gehören nun zum Programm. Als Grund dafür gibt Turnbull an, dass die Sicherheit der Daten von GitHub-Nutzern neben den nutzerorientierten Systemen auch von der Sicherheit der GitHub-Mitarbeiter und der internen Systeme abhängt.

In Turnbulls Blogpost wird auch die neu eingeführte Safe Harbor Policy vorgestellt. Diese Policy soll Teilnehmer des Programms davor schützen, für ihre Beteiligung am Programm rechtlich belangt zu werden. Innerhalb dieser Policy wird festgelegt, welche Informationen über Teilnehmer des Bug-Bounty-Programms unter welchen Bedingungen an Dritte weitergegeben werden. Übertretungen der Regelungen des Programms werden von GitHub nicht verfolgt, wenn sie im Kontext des Programms stattfinden. Während der Suche nach Bugs sind Teile der Nutzungsbedingungen von GitHub-Produkten durch die Policy außer Kraft gesetzt. Als Beispiel werden die Bestimmungen zum Reverse Engineering in den Bedingungen zu GitHub Enterprise genannt.

Eine weitere Änderung für das Bug-Bounty-Programm von GitHub ist eine Erhöhung der möglichen Belohnungen. Für gefundene und gemeldete Bugs werden zwischen 617 und 30.000 US-Dollar gezahlt, abhängig vom Schweregrad. Für innovative Forschung behält sich GitHub die Zahlung noch höherer Summen vor.

Weitere Informationen zu Ereignissen aus GitHubs Bug-Bounty-Programm 2018 und zu den Änderungen für 2019 finden sich im entsprechenden Blogpost.

Verwandte Themen:

Geschrieben von
Florian Roos
Florian Roos
Florian Roos ist Redakteur für Software & Support Media. Er hat Politikwissenschaft an der Technischen Universität Darmstadt studiert und erste redaktionelle Erfahrungen in den Bereichen Games und Consumer-Hardware gesammelt.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: