15'000 Euro für eine Sicherheitslücke bei WSLabi

Der von Wabisabilabi (WSLabi) vor zwei Monaten eröffnete Onlinehandelsplatz für Security-Forscher vermeldet über 160'000 Unique Visitors und mehr als 150 abgeschlossene Deals mit Sicherheitsproblemen. Das Portal erlaubt den Verkauf von IT Security Vulnerabilities - das Zielpublikum sind Unternehmungen, Regierungsdepartemente und Softwarehändler. Ziel ist es, den Handel mit Sicherheitslücken in einer sicheren Umgebung zu ermöglichen und durch ihre Früherkennung drohenden Schaden abzuwenden. Bisher wurden 118 derselbigen für Preise zwischen 100 und 15'000 Euro verkauft. Davon waren 51 für Windows, 19 für Linux und 2 für Mac. WSLabi verifiziert die Sicherheitslücken vor der Veröffentlichung in eigenen Forschungslabors. Wurden sie mit offensichtlich illegalen Methoden erlangt, werden sie abgelehnt. So landen schlussendlich nur zwei Drittel der Eingaben auch im Angebot. Auch Fehler in Applikationen, die speziell für den Anwender angepasst wurden, werden nicht akzeptiert. Der Handel geschieht anonymisiert über Nicknames – nur WSLabi kennt die wahre Identität der Teilnehmer. Die vollständige Preisgabe der Sicherheitslücken erfolgt dabei erst mit dem Kauf. Vorher muss man sich mit einem „Proof of Concept“ zufrieden geben. Die Funde können wahlweise über eine Auktion mit festgelegtem Startpreis oder einem Fixpreis verkauft werden. Auch ein Exklusiverkauf an einen Buyer ist möglich. Die Plattform erntete im Vorfeld der Ankündigung zum Teil harsche Kritik und wurde eines fragwürdigen Business-Modells beschuldigt. Sie hat über 1'000 registrierte Mitglieder.