YesWeHack präsentiert verbesserte Version der ZeroDisclo-Plattform

Koordinierte Meldung von IT-Sicherheitsschwachstellen komplett neu gestaltet

München, 23.04.2020 /
Zerodisclo Infografik (Copyright YesWeHack)
ZeroDisclo Infografik (Copyright YesWeHack)

YesWeHack, Europas führende Bug-Bounty-Plattform, stellt eine neue Version von ZeroDisclo vor. Die unabhängige, gemeinnützige Plattform ermöglicht seit Ende 2016 eine koordinierten Meldung von IT-Sicherheitsschwachstellen. Hacker können über ZeroDisclo.com in einem rechtlich sicheren Umfeld anonym Schwachstellen melden. Die Reports werden verschlüsselt an das zuständige CERT (Computer Emergency Response Team) übermittelt. Seit Bestehen der Plattform wurden mehrere hundert Sicherheitslücken darüber gemeldet. Um diesen Prozess noch einfacher und nutzerfreundlicher zu gestalten, wurde das Angebot komplett überarbeitet und neu strukturiert.

Höchster Schutz für Melder und Empfänger von Schwachstellenreports

ZeroDisclo schlägt eine Brücke zwischen einem ethischen Hacker und einem CERT. Die Plattform formalisiert den Aufdeckungsprozess von IT-Sicherheitsschwachstellen und schützt dabei den Melder der Schwachstelle. Zugleich erhält das zuständige CERT detaillierte Informationen zu Schwachstellen, ohne dass diese an die Öffentlichkeit gelangen. Ein besonderes Augenmerk liegt auf Anonymität und Datenschutz: Dank der Verschlüsselung des Berichts mit den Schlüsseln der Person, die den Bericht einreicht sowie den Schlüsseln der empfangenden Organisation, fungiert ZeroDisclo.com als anonymer „Treibriemen“ für den Meldeprozess.

ZeroDisclo ist auch als .onion-Instanz verfügbar, was eine koordinierte Meldung von Schwachstellen über den Browser „Tor“ ermöglicht. Unabhängig davon, welchen Webbrowser der Einsender verwendet, wird der Bericht mit dem öffentlichen Schlüssel der empfangenden Organisation verschlüsselt, dann signiert und mit einem Zeitstempel versehen. Der Zeitstempel wird anhand eines Blockchain-Eintrages erstellt. Die Site sendet den Bericht dann an ein CERT. Der Schwachstellenentdecker erhält ein Zertifikat als Hinterlegungsnachweis.

Dank ZeroDisclo können Schwachstellen offengelegt werden, ohne dass sich auf der Plattform ein gefährliches Wissen über die Fehler in den Informationssystemen Dritter ansammelt. Die Personen, die ZeroDisclo.com verwalten, haben zu keinem Zeitpunkt Zugriff auf die Details der beschriebenen Schwachstelle.

Neue, klare Gestaltung bringt mehr Übersicht

Die neugestaltete Website macht die Schritte und den Ablauf des Meldeprozesses noch klarer und einfacher. Dazu wurde beispielsweise die Navigation der Plattform überarbeitet. Das neue Einreichungsformular macht mit Hilfe eines Icons, ein durchgestrichenes Auge, auf einen Blick deutlich, welche Teile des Schwachstellenberichts verschlüsselt werden. Darüber hinaus bietet ein neues FAQ Antworten auf viele Fragen, die Nutzer seit Start der Plattform gestellt haben.

„Uns ist es sehr wichtig, dass sensible Informationen an die richtigen Personen gelangen, ohne dass die Entdecker dabei unnötigen rechtlichen Gefahren ausgesetzt sind. Als Verwalter der Plattform haben wir keinerlei Zugriff auf Details der Reports. Unsere Arbeit hat zum Ziel, zur Verringerung von Schwachstellen beizutragen, nicht sie zu horten“, sagt Guillaume Vassault-Houlière, Gründer und CEO von YesWeHack.

Kombiniertes Angebot für bessere Cybersicherheit

Bevor ethische Hacker Schwachstellen anonym über ZeroDisclo.com melden, sind sie dazu angehalten, zunächst auf der Website www.firebounty.com, zu prüfen, ob das betroffene Unternehmen oder die Organisation ein spezielles Programm zur Aufdeckung von Schwachstellen (Vulnerability Disclosure Policy) hat. Sollte dies der Fall sein, ist der Prozess für die Meldung der Schwachstelle bereits von Seiten des Unternehmens geregelt und sollte dann eingehalten werden. Firebounty.com listet Vulnerability Disclosure Policy-Programme in Echtzeit. Die Plattform wird ebenfalls von YesWeHack bereitgestellt. Zusammen mit seiner Bug-Bounty-Plattform bietet YesWeHack ein stimmiges Angebot für die koordinierte und sichere Aufdeckung, Beschreibung und Behebung von IT-Sicherheitsschwachstellen an.

Jetzt teilen:

Über YesWeHack

YesWeHack ist Europas führendes Bug-Bounty- und VPD-Plattform. Die Plattform bringt Unternehmen, die Sicherheitslücken in ihrer digitalen Infrastruktur schließen wollen, mit über 19.000 ethischen Hackern, bezeichnet als „Hunter“, zusammen. Die Hunter gehen nach den Regeln des Kunden vor und werden ergebnisbasiert bezahlt. Neben der Bug-Bounty-Plattform bietet YesWeHack Unterstützung bei der Erstellung einer Vulnerability Disclosure Policy (VDP) sowie eine Stellenbörse für IT-Sicherheitsexperten. Dojo, eine Lernplattform für ethische Hacker, sowie eine Ausbildungsplattform für Bildungseinrichtungen (YesWeHackEDU) gehören außerdem zum Portfolio. Unternehmen und Organisationen wie Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium vertrauen auf YesWeHack. Gegründet wurde YesWeHack 2013 in Frankreich. Hauptfirmensitz ist Paris. Mehr Informationen unter www.yeswehack.com

YesWeHack auf:

Pressekontakt YesWeHack

Marine Magnant
Global Field Marketing Director
Tel.:  +33 6 02 16 93 20
E-Mail: m.magnant@yeswehack.com

Kontakt PR-Agentur

Schwartz Public Relations
Sendlinger Straße 42A
D-80331 München

Team YesWeHack
E-Mail: yeswehack@schwartzpr.de

Ulrike Schinagl
Tel.: +49 (0) 89 211871-55
E-Mail: us@schwartzpr.de

Daniela Palatzky
Tel.: +49 (0) 89 211 871 71
E-Mail: dp@schwartzpr.de

Sven Kersten-Reichherzer
Tel.: +49 (0) 89 211871-36
E-Mail: sk@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

Zerodisclo Infografik (Copyright YesWeHack)Zerodisclo Schwachstellen Meldeformular (Copyright YesWeHack)

    Weitere Beiträge
    des Kunden