SBB lancieren öffentliches Bug-Bounty-Programm

Ethische Hacker sind aufgerufen, die Websites der SBB auf Herz und Nieren zu testen. Der Bahnbetrieb hat sein Bug-Bounty-Programm geöffnet, wie "Inside-IT" berichtet. Das Programm wird auf der Plattform "Intigriti" gehostet. Laut den auf der Seite zugänglichen Informationen wurde das Programm bereits im Oktober 2022 lanciert.

Gesucht werden vor allem Wege, die potenzielle Angreifer nutzen könnten, um Nutzerdaten zu stehlen oder zu manipulieren. Aktuell werden die folgenden Domains untersucht:

• www.swisspass.ch
• bahninfrastruktur.sbb.ch
• beta.sbb.ch
• bimchange.sbb.ch
• business.sbb.ch
• www.elvetino.ch
• www.sbbcargo.com
• www.transsicura.ch

Weitere Domains und Applikationen sollen im späteren Projektverlauf hinzukommen.

Bis zu 4000 Euro Belohnung

Wer eine Schwachstelle mit dem Rating "Aussergewöhnlich" auf swisspass.ch entdeckt, dem winkt eine Belohnung von 4000 Euro. Auf den anderen Plattformen winkt eine Belohnung von 2000 Euro.

Gemäss dem Intigriti-Leaderboard wurde bislang eine Schwachstelle mit dem Rating "Hoch" entdeckt, und zwar vom User "barantivirus". Dafür winkt eine Auszahlung von 500 Euro, wenn es sich um eine Swisspass.ch-Schwachstelle handelt, ansonsten liegt die Belohnung bei 250 Euro.

Wie viel Geld die SBB bislang ausgezahlt haben, ist nicht bekannt, auch wie lange das Programm noch weiterläuft ist unklar.

Mit Schwachstellen, die Kundendaten gefährden, haben die SBB bereits negative Erfahrungen gemacht. Erst im Januar 2022 hatte man eine Sicherheitslücke geschlossen, welche es einem Sicherheitsforscher möglich gemacht hatte, Daten von einer halben Million Swisspass-Kunden zu stehlen. Das Transportunternehmen wusste seit 2018 von der Schwachstelle, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.