Sicherheit ist bei Facebook besonders wichtig. Als größtes soziales Netzwerk der Welt, mit rund 1,23 Milliarden Mitgliedern hat Facebook schon seit 2011 ein Bug Bounty Programm. Facebook gab damals bekannt, dass es eine Mindestauszahlung von $500 geben wird und das es kein Höchstlimit gibt. Bislang wurden rund 2 Millionen Dollar als Belohnung ausgezahlt, davon allein 1,5 Millionen in 2013. Als Whitehat (Security Researcher) macht es einen natürlich sehr stolz einem solch großen Unternehmen im Bezug auf die Sicherheit zu helfen, zudem ist es eine prima Referenz und die Belohnungen sind sicher auch ganz angenehm ;) Eines Tages entschlossen wir uns also auch an dem Bug Bounty Programm von Facebook teilzunehmen und suchten nach Lücken.

Digitalocean.com ist ein Cloudhostinganbieter, welcher sich auf kleine bis große virtuelle Server mit SSD-Festplatten spezialisiert hat. Als sicherheitsbewusstes Unternehmen hat DigitalOcean ein Bug Bounty am Laufen. Da sich Security Researcher natürlich sehr darüber freuen und eine Entlohnung in Aussicht steht, wollten wir diese Möglichkeit nicht missen.

Letztens entdeckten wir eine CSRF Lücke in den Hilfeseiten von Facebook. Da die Lücke nicht wirklich kritisch war, wurde diese von Facebooks Security Team zurückgewiesen. Wir wurden von einigen Twitterern gebeten trotzdem darüber zu bloggen.

Paypal ist wohl der bekannteste Onlinebezahldienste und ist eines der Unternehmen, welche ein Bug Bounty Programm anbieten. Wir konnten im Rahmen dieses Programms eine sehr kritische Sicherheitslücke bei Paypal aufdecken. Die Lücke und den Hergang möchten wir nun ein wenig schildern, um deutlich zu machen, dass selbst die größten IT-Unternehmen der Welt über kritische Lücken verfügen können, und die Schließung teilweise mehrere Monate in Anspruch nehmen können.

Die Sozialdemokratische Partei Deutschlands (Kurzbezeichnung: SPD) ist eine deutsche Volkspartei und die älteste im Parlament vertretene Partei. Die Webseite bayernspd.de repräsentiert dabei einen von 16 SPD - Landesverbänden in Deutschland und ist somit die zentrale Anlaufstelle für alle online-Parteifragen in Bayern.

Im Juni des Jahres 2013 entdeckten wir eine SQL Injection Lücke in einem Google Dienst, welche von Googles Security Team schnell behoben wurde.

Xup.in ist seit mehren Jahren ein recht beliebter Filehoster, das liegt vor allem an der simplen Bedienungsoberfläche, welche trotzdem über viele Funktionen verfügt. So kann man alle Dateitypen hochladen und diese werden auch direkt wiedergegeben, bspw. Bilder angezeigt. Außerdem kann man Ordner anlegen oder Uploads mit einem Passwort schützen.

Bei einem Upload einer Datei überraschte uns eine Fehlermeldung, dessen Fehlertext Teil eines Parameters war. Der erste Verdacht bestätigte sich und wir wurden neugierig, abschließend endete der Upload in mehreren aufgedeckten Sicherheitslücken.

Der Werbedienst Doubleclick.net gehört seit 2007 Google. Dies bedeutet, dass die dazugehörige Domain “doubleclick.net” im Scope des Bug Bounty Programms ist.

Nachdem wir uns auf der Webseite ein wenig umgeschaut haben, entdeckten wir eine sehr interessante XSS Lücke, welche kaum bis gar nicht auszunutzen ist.

Der Spiegel gehört zu den gängisten Nachrichtenmagazinen in Deutschland. Der Spiegelverlag merkte früher als viele Konkurrenten, dass es wichtig wäre sich auf dem neuen Markt des Internets zu positionieren und hatte bereits 1994 eine entsprechende Webpräsenz. Heute erfreut sich der Dienst immernoch großer Beliebtheit, die Webpräsenz zählt zu den reichweitstärksten in Deutschland. Insbesondere durch Übersichtlichkeit und viele anschauliche Applikationen macht das Surfen auf Spiegel.de viel Spaß - allerdings sollte dabei die Sicherheit nicht zu kurz kommen…

Tuenti ist eine spanische “social network” Plattform, welche mit 14 Millionen Nutzern zu den größten sozialen Netzwerken im spanischsprachigen Raum gehört. Das Netzwerk bietet insbesondere für junge Personen und Studenten interessante Webapplikationen, welche Kommunikation grundsätzlich erleichtern sollen. Zudem gehört Tuenti zu den Unternehmen bei denen Sicherheit groß geschrieben wird,. deshalb gibt es dort ein sogenanntes “Responsible Disclosure” Programm, an dem wir natürlich auch gerne teilgenommen haben.