Closed Bug Bounty Programm

Beim Closed Bug Bounty Programm untersuchen wir IT-Systeme in der Tiefe. Mit Ihrer Erlaubnis suchen wir nach Bugs und sicherheitsrelevante Konfigurationsfehlern. Sie bezahlen nur für Sicherheitslücken, die wir finden.

Codepurple kontaktieren

Was bedeutet Bug Bounty?

Der Ausdruck Bug Bounty Programm (Kopfgeld für Sicherheitslücken) bezeichnet ein Vorgehen zur Identifizierung, Behebung und Bekanntmachung von Fehlern in IT-Systemen mit einer Belohnung für die Entdecker.

Wie funktioniert das Closed Bug Bounty Programm?

Beim Closed Bug Bounty suchen die Spezialisten von Codepurple Sicherheitslücken in Ihren Systemen. Sie bezahlen nur für gefundene Schwachstellen. Das Programm läuft in der Regel vier Wochen. Jede gefundene Sicherheitslücke wird mit einem detaillierten Beschrieb inklusive einer Schritt für Schritt Anleitung für die Reproduktion dokumentiert.

Preismodell

Kategorie CVSS Score CHF
Low 1.1 - 3.9 200
Medium 4 - 6.9 800
High 7 - 8.9 2'500
Critical 9 - 10 5'000

Unsere Regeln

Grundsätzlich gilt: Alles ist erlaubt, ausser:

  • Keine Social-Engineering-Angriffe
  • Keine Phishing-Versuche
  • Keine DDoS-Attacken
  • Keine Zerstörung von Daten / Systemen

Wie gross ist das Risiko?

Sowohl Ihr finanzielles Risiko, wie auch das Risiko, dass Ihre IT-Systeme nicht mehr verfügbar sind ist klein. Dank einem Kostendach können Sie die maximalen Kosten abschätzen.
Hacker gehen wie Chirurgen vor, dabei geht es nicht darum Schaden anzurichten, sondern Lücken zu finden und die IT-Systeme nicht zu beeinträchtigen.

Sind Hacker böse?

Der Begriff Hacker ist oft negativ konnotiert. Dies zu Unrecht. Den die meisten Hacker haben keine bösen oder kriminellen Absichten. So hat sich der Begriff "Ethische Hacker" oder "Whitehat-Hacker" etabliert für die freundlichen Hacker etabliert.

Was ist der Unterschied zwischen einem Security-Review und dem Closed Bug Bounty?

Bei einem Security-Review wird der Umfang definiert und die Spezialisten suchen im definierten Umfang und der verfügbaren Zeit nach Lücken. Ein Review geht in die Breite, wobei beim Closed Bug Bounty in die Tiefe einzelner Systeme vorgedrungen wird.

Weshalb heisst es Closed Bug Bounty Programm?

Bei einem Closed Bug Bounty Programm analysiert nur ein kleiner Kreis an ausgewählten Spezialisten die Systeme. So bleiben alle Erkenntnisse intern und die Öffentlichkeit erfährt nichts vom Programm.

Was kostet es?

Jede Schwachstelle wird nach dem etablierten CVSS (Common Vulnerability Scoring System: https://www.first.org/cvss/) bewertet, klassifiziert und abgerechnet. Dabei ergeben sich die Kosten für eine Sicherheitslücke nach ihrem Einfluss und nicht nach der Komplexität des Angriffes.

Kostendach

Der Kunde entscheidet selber über das Kostendach, welches er Codepurple für das Closed Bug Bounty Programm zur Verfügung stellt.

Vorteile

  • Kostenstruktur
  • Out of the Box Denken
  • Detaillierte Schritt-für-Schritt Dokumentation
  • Mehr Zeit an einem interessanten Angriffsvektor
  • Sicherheit von eigenem Produkt erhöhen
  • Vertrauen in eigenes Produkt erhöhen

Was ist der Umfang?

In der Regel sind alle von aussen erreichbaren Systeme im Umfang enthalten. Social-Engineering-Angriff oder Phishing-Versuche werden von Codepurple nicht durchgeführt. Wenn es Systeme gibt, welche nicht analysiert werden dürfen, so können diese vom Kunden ausgeschlossen werden. Im Grundsatz gilt, je weniger ausgeschlossen wird, desto aussagekräftiger ist das Ergebnis.

Codepurple kontaktieren

63% der bestätigten Datendiebstählen beruhen auf einem schwachen, voreingestellten oder gestohlenen Passwort.

Quelle: SecurityIntelligence