Die Online-Musikplattform Deezer, hat mit Hilfe eines Bug-Bounty-Programmes kosteneffizient Sicherheitsschwachstellen beseitigt. Der Anbieter der Lösung ist die Plattform YesWeHack. Ein Interview mit Romain Lods (im Bild), Head of Engineering bei Deezer.
Was hat Sie dazu bewogen, ein Bug-Bounty-Programm zu starten?
Etwa zwei Jahre vor dem Start unseres Bounty-Bug-Programms haben wir erstmals interne Sicherheitsprüfungen unseres Codes durchgeführt. Im Rahmen dieser Tests konnten einige offensichtliche Schwachstellen behoben werden. Daran anknüpfend wollten wir uns tiefergehend mit der Cybersecurity von Deezer auseinandersetzten und entschlossen uns, es mit Bug-Bounty zu versuchen. Die benutzerfreundliche Oberfläche der Plattform von YesWeHack überzeugte uns, das Programm auszuprobieren. Nach dem Start wurden uns sehr schnell interessante Schwachstellen gemeldet.
Cybersicherheit wird bei Deezer also großgeschrieben?
Unbedingt, denn Künstler und Labels werden bei uns nach Anzahl ihrer Hörer bezahlt – um ihre Einnahmen zu garantieren, müssen wir sie vor jeglichem Betrug auf der Plattform schützen. Der Schutz vor Betrug ist deshalb umso mehr ein entscheidender Teil unserer Cybersicherheitsstrategie.
Welchen Mehrwert kann Bug-Bounty im Vergleich zu traditionellen Cyber-Sicherheitslösungen bieten?
Der Ansatz garantiert uns ein breites Spektrum an Testern mit unterschiedlichen Fähigkeiten. Bei Penetrationstests ist jeder Berater hochspezialisiert, so dass wir ihn sozusagen anleiten, was er testen soll. Bei Bug-Bounty waren wir von den Berichten einiger Hacker überrascht, die uns Ergebnisse von Szenarien lieferten, die vorher noch nie dagewesen waren. Ebenso schätze ich die Qualität der Berichte über Schwachstellen, die gemeldet wurden: Die Sicherheitsexperten versuchen einen funktionellen und reproduzierbaren Machbarkeitsbeweis zu liefern, den wir leicht nachtesten können. Zudem sind die Berichte oft mit Screenshots und Videos illustriert, was uns ihr Verständnis, ihre Validierung und auch die weitere Kommunikation mit den betroffenen Teams sehr erleichtert. Und zuletzt ist Bug-Bounty auch in Bezug auf den ROI attraktiv, denn wir entscheiden selbst, welche Belohnung wir jeder Schwachstelle zuweisen.
Und noch genauer gefragt: Sind Penetrationstests dank Bug-Bounty hinfällig?
Für mich sind beide Wege absolut komplementär. Bug-Bounty ist ein Werkzeug, das weiter und tiefer geht als Pentests. Diese setzen wir bei neuen Diensten ein oder jährlich in den Bereichen, von denen wir bereits wissen, dass es Probleme gibt. Das dauert zwischen einer und drei Wochen. Aber dieser Ansatz ist teuer, konzentriert sich jedes Mal nur auf einige wenige Dienste und liefert mit der Zeit keine wirklich interessanten Ergebnisse mehr. Bug-Bounty ermöglicht es uns, das ganze Jahr über ein permanentes Feedback zu verschiedenen Bereichen zu erhalten und Fehler sehr schnell zu erkennen.
Haben Sie seit Ihrer Teilnahme am Bug-Bounty-Programm von YesWeHack interne Veränderungen in Ihren Teams beobachten können?
Ja, wir sehen ein deutlich erhöhtes Sicherheitsbewusstsein bei unseren Mitarbeitern. Unsere ganze Vision und Haltung in Bezug auf Cybersicherheit haben sich weiterentwickelt – und Bug-Bounty ist eine der treibenden Kräfte für diese Veränderung. Die Berichte über das Bug-Bounty-Programm haben außerdem geholfen, einige große Sicherheitsprojekte anzustoßen. Auch haben wir unsere internen Prozesse angepasst, um Berichte über Schwachstellen besser zu sammeln, zu sortieren und zu validieren. Auf dieser Grundlage wird zu jedem validierten Bericht ein internes Ticket erstellt und dem entsprechenden Team zur Bearbeitung mit einer bestimmten Priorität zugewiesen.
Betrachten Sie Bug-Bounty als einen Vertrauensbeweis gegenüber der Öffentlichkeit?
Aus meiner Sicht ja: Durch ein öffentliches Bug-Bounty-Programm demonstrieren und unterstreichen wir unsere Aktivitäten bezüglich Sicherheit und Transparenz. Wir erwarten und hoffen auch, dass uns dadurch „kontrollierte“ Angriffe von ethischen Hackern erreichen und schätzen das wertvolle Feedback aus der Forschergemeinschaft.
Was ist der nächste Schritt in Ihrer Strategie?
Wir haben uns vorgenommen, das Bug-Bounty-Programm regelmäßig neu zu beleben, falls die Aktivitäten zurückgehen. Im Allgemeinen hängt die Anzahl der Rückmeldungen oft davon ab, wie sichtbar Deezer in den Nachrichten ist. Wenn wir mehr kommunizieren oder Kampagnen starten werden auch mehr ethische Hacker von unserem Programm angezogen. Als nächstes ziehen wir eine Erhöhung der Prämien in Betracht, um die Hunter, wie sie bei YesWeHack heißen, zu ermutigen, noch komplexere Schwachstellen zu finden.
Haben Sie einen Rat für CISOs oder Startups, die sich überlegen, Bug-Bounty einzusetzen?
In der Regel ist es immer besser, Sicherheitslücken von Beginn eines Projekts an zu kennen, als abzuwarten, bis diese nach und nach offengelegt werden. Dann hat man oft bereits IT-Architekturen oder Prozesse geschaffen, die sich im Nachhinein schwieriger anpassen lassen. Viele der Erkenntnisse, die uns unser Bug-Bounty-Programm gebracht hat, hätte ich daher gerne so früh wie möglich berücksichtigt. Ich würde also empfehlen, nicht zu lange mit der Implementierung von Tools wie Bug-Bounty zu warten, um solche Abhängigkeiten zu vermeiden.
www.yeswehack.com