Ethische Hacker greifen Chiefs und Nikin an
60 ethische Hacker haben die Onlineshops der Schweizer Firmen Chiefs und Nikin angegriffen und auf Schwachstellen getestet. Dabei stiessen sie auf 36 teils kritische Sicherheitslücken. Die Hacks wurden von Bug Bounty Switzerland und Cisco Schweiz organisiert.
Die beiden Schweizer Firmen Chiefs und Nikin sind vom 10. bis zum 28. März 2023 ins Visier von Hackern geraten - freiwillig. Die Unternehmen setzten sich einem sogenannten "Reality Check" aus, organisiert von Bug Bounty Switzerland und Cisco Schweiz. 60 ethische Hacker griffen demnach die Onlineshop-Systeme der Unternehmen an, um diese auf Schwachstellen zu überprüfen, wie Bug Bounty Switzerland mitteilt.
Insgesamt 36 Schwachstellen gefunden
In den ersten Tagen der Tests seien die ursprünglich 10 teilnehmenden Hacker auf 12 mittelschwere Sicherheitslücken ("medium") sowie auf eine mit hoher Relevanz ("high") gestossen, wie es in der Mitteilung heisst. Am siebten Tag habe das Team von Bug Bounty die Situation analysiert und die Tests anhand von Gesprächen mit den Hackern adaptiert. Anschliessend sei das Programm stark und die Zahl der Teilnehmenden auf 60 erhöht worden. Bereits einen Tag später hätten die Hacker reihenweise kritische Sicherheitslücken ("critical") entdeckt.
Während die Hacker in den ersten Tagen der Tests vorwiegend mittelschwere Schwachstellen fanden, entdeckten sie nach Aufstocken der Teilnehmendenzahl eine Vielzahl an Lücken mit hoher und kritischer Relevanz. (Source: Screenshot / Bug Bounty Switzerland)
20'000 Franken als "Bounty"
Innerhalb der 18 Programmtage seien schliesslich insgesamt 36 Schwachstellen zum Vorschein gekommen. Fünf davon waren laut Bug Bounty Switzerland hochkritisch und hätten es erlaubt, die Shop- und Serversysteme komplett zu übernehmen sowie Kundendaten zu stehlen. Die Sicherheitslücken konnten laut den Organisatoren behoben werden, bevor sie von Cyberkriminellen ausgenutzt wurden. Die 60 beteiligten Personen erhielten laut Bug Bounty Switzerland insgesamt 20'000 Franken für ihre Bemühungen, ausgezahlt vom Mitveranstalter Cisco Schweiz. Bug Bounty Switzerland stellte laut Mitteilung seinen Managed Service sowie seine Kollaborationsplatform zur Verfügung.
Übrigens: Seit Ende 2022 geht Bug Bounty Switzerland auch für die Bundesverwaltung auf Bug-Jagd. Das Unternehmen erhielt einen entsprechenden Zuschlag, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.