YesWeHack 04.03.2020, 11:19 Uhr

Vulnerability Disclosure Policy (VDP) Finder

Um die VDP-Richtlinien für ethische Hacker einfacher auffindbar zu machen, hat die Bug-Bounty-Plattform YesWeHack einen einen kostenlosen VDP-Finder für diverse Browser entwickelt.
(Quelle: yeswehack.com)
Um die Zusammenarbeit zwischen Unternehmen und ethischen Hackern zu vereinfachen, hat die Bug-Bounty-Plattform YesWeHack das Browser Add-on "Vulnerability Disclosure Policy (VDP)-Finder" entwickelt. Das Plug-in macht die Richtlinien zur Meldung potenzieller Schwachstellen leichter auffindbar.
Die Zusammenarbeit mit Hackern ist für viele Unternehmen noch ein neues Feld – und ein besonders sensibles. Umso wichtiger ist es, einen klaren Prozess zu definieren, wie sogenannte "ethische Hacker" eine potenzielle Sicherheitsschwachstelle melden. Diese Richtlinien werden als Vulnerability Disclosure Policy (VDP) bezeichnet und unter anderem von der Europäischen Kommission oder dem US-Justizministerium empfohlen. Ethische Hacker sind engagierte Sicherheitsexperten, die potenzielle Schwachstellen in Unternehmen ausfindig machen, um zu vermeiden, dass diese Informationen in falsche Hände geraten.Immer mehr Organisationen sind sich über die Bedeutung einer VDP bewusst und führen eine solche ein. Dies hilft beiden Parteien gleichermaßen: Anstelle eines anonymen Berichts oder eines Tweets über die gefundene Schwachstelle, erhält das Unternehmen die Meldung gemäß der im VDP gelisteten Vorgaben. Den Hacker wiederum schützt die Richtlinie vor rechtlichen Konsequenzen.
Das Add-on "VDP-Finder" von YesWeHack für Google Chrome und Mozilla Firefox erleichtert dessen Auffindbarkeit. Dank des Plug-ins wird es für Hacker deutlich einfacher und schneller, die VDP eines Unternehmens zu finden und potenzielle Schwachstellen zu melden. Der "VDP Finder" zeigt Nutzern im Browser jederzeit an, ob die besuchte Webseite eine VDP anbietet und stellt diese zur Verfügung. Mit einem Klick leitet das Add-on den Nutzer beispielsweise auf eine spezielle Webseite weiter, über die die Schwachstelle gemeldet werden kann (zum Beispiel F-Secure). Alternativ gibt das Plug-in die Datei security.txt des Unternehmens aus, in der die Vorgehensweise, Kontaktdaten oder ein Link zu einem Bug-Bounty-Programm enthalten sind.Das Plug-in stellt aktuell Informationen zu über als 600 Bug-Bounty-Programmen und fast 2.000 VDP-Richtlinien bereit. Diese werden entweder über eine spezielle Webseite oder eine security.txt-Datei angezeigt. "Wir gehen davon aus, dass diese Zahlen weiterhin rasant steigen werden, da immer mehr Unternehmen die Vorteile eines Schulterschlusses mit ethischen Hackern erkennen", sagt Rayna Stamboliyska, Vizepräsidentin Governance and Public Affairs bei YesWeHack.
Der VDP-Finder kann kostenlos geladen werden:
Die europäische Bug-Bounty-Plattform YesWeHack bringt Unternehmen, die Sicherheitslücken in ihrer digitalen Infrastruktur schließen wollen, mit über 15.000 ethischen Hackern, bezeichnet als "Hunter", zusammen. Die Hunter gehen nach den Regeln und Vorgaben des Kunden vor und werden ergebnisbasiert bezahlt. Neben der Bug-Bounty-Plattform bietet YesWeHack eine Stellenbörse für IT-Sicherheitsexperten. Ein gemeinnütziges Forum zur koordinierten Aufdeckung von IT-Sicherheitslücken (zerodisclo.com) sowie der Bug-Bounty-Aggregator FireBounty.com gehören außerdem zum Portfolio. Unternehmen und Organisationen wie Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium vertrauen auf YesWeHack. Gegründet wurde YesWeHack 2013 in Frankreich. Hauptfirmensitz ist Paris. Mehr Informationen finden Sie unter www.yeswehack.com.


Das könnte Sie auch interessieren