Vor einigen Tagen versuchten wir uns am neu gestartetem Bug Bounty des Unternehmens meraki.com. Mit etwas Glück und Geduld wurden wir fündig.
Im Zielbereich des Bug Bounty Programms waren alle Seiten die sich unter der Domain “*.meraki.com” auffinden ließen. Wir verschafften uns einen Überblick über die Webseite und ihre Funktionen. Diese waren recht komplex, allerdings konnten wir dort zunächst keine Lücke finden.
Meist ist es bei Webseites, welche ein Bug Bounty anbieten ohnehin sehr schwierig Lücken zu finden, da sehr viele Sicherheitsexperten sich daran ausprobieren. Trotzdem wurden wir fündig, was wieder einmal ein Beweis dafür war, dass sich Gründlichkeit auszahlt.
Die Lücken entdeckten wir am Sonntag, den 17.03.2013 und verschickten am selben Abend noch eine Email an das zuständige Sicherheitsteam. Da Meraki bekannt für schnelle Fixes ist, wunderten wir uns, dass man uns drei Tage später (21.03.2013) immer noch nicht auf die Email geantwortet hatte. Also fragten wir über Twitter bei @Meraki nach und uns wurde versichert, dass man sich der Sache annehmen würde. Die XSS-Lücke, welche sich auf einer Unterseite in einem Loginscript von Meraki befand, war nur eine Post-XSS Lücke.
@internetwache Which address did you email? I can follow up and look into it today.
— Meraki(@meraki) 21. März 2013Bereits einen Tag später erhielten wir eine freundliche Email, in der man uns mitteilte, dass wir die ersten Finder ders Sicherheitproblems waren. Wir bedankten uns für diese Information und die entsprechende Entlohnung, welche wir innerhalb einer weiteren Stunde erhielten.
Fazit
Wir sind der Meinung, dass viele Unternehmen sich ein Beispiel an Meraki nehmen sollten.
Meraki zeigt: Es ist ohne weitere Probleme möglich schnelle Fixes einzuspielen und sich bei den Findern entsprechend zu bedanken.
Screenshots
