Meinung: Zooms Umgang mit der Offenlegung von Sicherheitslücken verdeutlicht die Schattenseiten von NDAs mit Bug Bounty

Trotz der Bemühungen eines Unternehmens, einen Dienst bereitzustellen, der fehlerfrei und sicher funktioniert, können und werden Software-Fehler auftreten, von denen einige schwerwiegender sind als andere.

Manchmal können diese Fehler selbst von den erfahrensten Sicherheitsteams unentdeckt bleiben, was möglicherweise zu einem Produkt führt, das die digitale Sicherheit der Benutzer gefährdet und sie Cyberangriffen aussetzt. Viele Unternehmen haben Bug-Bounty-Programme eingerichtet, um Cybersicherheitsforscher zu gewinnen, die ihnen helfen sollen, Schwachstellen zu lokalisieren, die in ihren Systemen möglicherweise unentdeckt lauern.

Im Wesentlichen hackt der Forscher (ethisch) in das System des Anbieters ein, um mögliche Sicherheitslücken auszunutzen. Wenn der Forscher eine Sicherheitsanfälligkeit entdeckt, die ein ausreichend hohes Risiko darstellt, kann der Forscher ein Bug-Kopfgeld im Wert von Hunderten von Dollar oder sogar Hunderttausenden von Dollar sammeln, abhängig von der Schwere des entdeckten Bugs. Kopfgeldjäger agieren oft als die Helden der Cybersicherheit, die Organisationen für die Gewährleistung der digitalen Sicherheit der Verbraucher zur Rechenschaft ziehen.

Was passiert jedoch, wenn eine Organisation mit dem Cybersicherheitsforscher über die Schwere einer vom Forscher aufgedeckten Sicherheitslücke nicht einverstanden ist? Was passiert, wenn eine Organisation versucht, die Rechenschaftspflicht zu umgehen, indem sie dem Forscher verbietet, seine Erkenntnisse öffentlich bekannt zu geben, oder nur unter der Bedingung, dass der Forscher öffentlich über eine Sicherheitsanfälligkeit schweigt, eine Fehlerprämie zahlt? In diesem Fall können die digitale Sicherheit und die Privatsphäre der Verbraucher ernsthaft gefährdet werden.

Bug-Bounty-Programme sind unerlässlich, um die Systeme, auf denen die Software und Anwendungen ausgeführt werden, die Verbraucher täglich verwenden, sicher zu halten und ordnungsgemäß zu funktionieren. Sie motivieren Cybersicherheitsforscher und ethische Hacker, sich zu melden und Schwachstellen zu finden. Es liegt auf der Hand, dass die Unterzeichnung einer Geheimhaltungsvereinbarung (NDA) durch Bug Bounty Hunters eine wichtige und wirksame Methode ist, um zu verhindern, dass potenziell schwerwiegende Sicherheitslücken öffentlich bekannt gemacht und ausgenutzt werden, bevor sie gepatcht werden.

NDA-Bestimmungen, die verhindern, dass ein Forscher jemals eine Sicherheitsanfälligkeit öffentlich bekannt gibt, könnten beispielsweise für ein Unternehmen nur einen geringen Anreiz darstellen, den Fehler ordnungsgemäß zu beheben, sodass die Benutzer verschiedenen Cyberthreats ausgesetzt sind.

Sicherheitsforscher und Bug Bounty-Jäger machen einen großartigen Job, indem sie Unternehmen dafür verantwortlich machen, dass ihre Benutzer sicher und geschützt sind. Wenn sich Unternehmen jedoch mit Sicherheitsforschern auf fragwürdige NDA-Taktiken einlassen, um diese Verantwortlichkeit zu umgehen, kann die Benutzersicherheit einem erheblichen Risiko ausgesetzt sein.

Angesichts der jüngsten Welle von Datenverstößen mit hohem Bekanntheitsgrad und erheblichen Sicherheitsüberprüfungen, an denen einige der größten Technologiefirmen beteiligt sind, verdient die Öffentlichkeit eine weitaus größere Rechenschaftspflicht gegenüber den Unternehmen, denen sie ihre Informationen anvertrauen. Der Gesetzgeber auf der ganzen Welt hat begonnen, gegen die Branche vorzugehen, und Gesetze ausgearbeitet, die darauf abzielen, die Verbraucher zu schützen und gleichzeitig die Technologiefirmen für den Umgang mit sensiblen Daten zur Rechenschaft zu ziehen. Top-Führungskräfte der Branche wie Mark Zuckerberg von Facebook, Bill Gates von Microsoft und Tim Cook von Apple haben alle die Notwendigkeit eines besseren Schutzes der Privatsphäre der Verbraucher und eines besseren Verantwortungsbewusstseins für Unternehmen anerkannt. Gleichzeitig sind die Verbraucher zunehmend misstrauisch geworden, wie Unternehmen ihre privaten Daten verwalten.

Angesichts dieses Trends ist Zooms Umgang mit der verantwortlichen Offenlegung mehrerer schwerwiegender Sicherheitslücken in seiner Videokonferenzanwendung durch einen Cybersicherheitsforscher verblüffend. Im März setzte sich der Cybersicherheitsforscher Jonathan Leitschuh mit Zoom in Verbindung, um das Unternehmen über drei wichtige Sicherheitslücken in seiner Videokonferenzanwendung für Mac-Computer zu informieren. Neben einem Fehler, der es einem böswilligen Angreifer ermöglichte, einen Denial-of-Service-Angriff (DOS) auf den Computer eines Benutzers zu starten, und einem Fehler, der dazu führte, dass ein lokaler Webserver auf dem Mac des Benutzers installiert blieb, nachdem die Anwendung Zoom deinstalliert wurde, deckte Leitschuh auch a auf Diese äußerst alarmierende Sicherheitslücke ermöglichte es einer böswilligen Entität eines Drittanbieters, das Mikrofon und die Kamera eines ahnungslosen Mac-Benutzers remote und automatisch zu aktivieren.

Laut Leitschuhs Blogbeitrag hat Zoom die Schwere der Sicherheitslücken während der laufenden Gespräche kontinuierlich heruntergespielt. Leitschuh gab Zoom ein 90-Tage-Fenster nach Industriestandard, in dem die Probleme behoben werden konnten, bevor mit der Veröffentlichung fortgefahren wurde. Er stellte Zoom sogar eine sogenannte "Quick Fix" -Lösung zur Verfügung, um die Sicherheitsanfälligkeit der Kamera vorübergehend zu beheben, während das Unternehmen die Arbeit an der Einführung des permanenten Fixes beendete. Während eines Treffens vor Ablauf der 90-tägigen Frist für die Veröffentlichung präsentierte Zoom Leitschuh die vorgeschlagene Lösung. Der Forscher wies jedoch schnell darauf hin, dass die vorgeschlagene Lösung unzureichend sei und auf verschiedene Weise leicht umgangen werden könne.

Nach Ablauf der 90-tägigen Frist für die Veröffentlichung implementierte Zoom die vorübergehende Lösung zur schnellen Fehlerbehebung. Leitschuh schrieb in seinem Blogbeitrag:

"Letztendlich gelang es Zoom nicht, schnell zu bestätigen, dass die gemeldete Sicherheitsanfälligkeit tatsächlich vorhanden war, und es gelang ihnen nicht, das Problem rechtzeitig zu beheben. Eine Organisation mit diesem Profil und einer derart großen Benutzerbasis hätte ihre Benutzer proaktiver vor Angriffen schützen sollen."

In seiner ersten Antwort auf die Veröffentlichung auf dem Unternehmensblog weigerte sich Zoom, den Schweregrad der Videoanfälligkeit anzuerkennen, und "entschied sich letztendlich ..., die Anwendungsfunktionalität nicht zu ändern". Zoom war damit einverstanden, den lokalen Webserver, der den Exploit ermöglichte, vollständig zu entfernen. Die erste Antwort des Unternehmens zusammen mit Leitschuhs Berichten darüber, wie Zoom seine verantwortungsvolle Offenlegung anging, ergab, dass Zoom das Problem nicht ernst nahm und wenig Interesse an einer ordnungsgemäßen Lösung hatte es.

Bleib ruhig

Zoom hatte versucht, Leitschuhs Schweigen in dieser Angelegenheit zu erzwingen, indem er es ihm ermöglichte, vom Bug-Bounty-Programm des Unternehmens nur unter der Bedingung zu profitieren, dass er einen übermäßig strengen NDA unterschrieb. Leitschuh lehnte das Angebot ab. Zoom machte geltend, dass dem Forscher eine finanzielle Entschädigung angeboten worden sei, lehnte diese jedoch aufgrund von "Geheimhaltungsbestimmungen" ab. Was Zoom vernachlässigt zu erwähnen ist, dass es Leitschuh aufgrund der spezifischen Ausdrücke untersagt gewesen wäre, die Sicherheitsanfälligkeiten zu offenbaren, selbst wenn sie ordnungsgemäß gepatcht worden wären. Dies hätte Zoom null Anreiz gegeben, eine Sicherheitslücke zu schließen, die das Unternehmen als unbedeutend abgetan hat.

NDAs sind in Bug-Bounty-Programmen gängige Praxis, aber die Forderung nach ständigem Schweigen des Forschers ist vergleichbar mit der Zahlung von Schweigegeld und kommt letztendlich weder dem Forscher noch den Nutzern oder der Öffentlichkeit im Allgemeinen zugute. Die Aufgabe der NDA sollte es sein, dem Unternehmen eine angemessene Zeit zu geben, um eine Sicherheitsanfälligkeit zu beheben, bevor sie der Öffentlichkeit zugänglich gemacht und möglicherweise von Cyberkriminellen ausgenutzt wird. Unternehmen haben eine vernünftige Erwartung der Geheimhaltung, während sie daran arbeiten, eine Sicherheitsanfälligkeit zu beheben, aber in erster Linie zum Nutzen des Benutzers, nicht in erster Linie, um sich vor dem Gericht der öffentlichen Meinung zu schützen. Auf der anderen Seite haben Forscher eine vernünftige Erwartung an eine finanzielle Belohnung sowie an die öffentliche Anerkennung ihrer Bemühungen. Benutzer haben eine vernünftige Erwartung, dass die Unternehmen, deren Produkte sie verwenden, alles tun, um ihre Privatsphäre zu schützen. Schließlich hat die Öffentlichkeit ein angemessenes Recht zu wissen, welche Sicherheitslücken bestehen und was unternommen wird, um Verbraucher vor Cyber-Bedrohungen zu schützen, und was Verbraucher tun können, um sich selbst zu schützen.

Widersprüchliche Prioritäten

Es wäre für Zoom schwierig gewesen, mit dieser Situation schlechter umzugehen als sie. Das Unternehmen konzentrierte sich so auf die Schaffung einer nahtlosen Benutzererfahrung, dass es die entscheidende Bedeutung des Schutzes der Privatsphäre der Benutzer aus den Augen verlor. „Video ist für das Zoom-Erlebnis von zentraler Bedeutung. Unsere Video-First-Plattform ist ein entscheidender Vorteil für unsere Benutzer auf der ganzen Welt, und unsere Kunden haben uns mitgeteilt, dass sie Zoom für unsere reibungslose Videokommunikation wählen “, erklärte das Unternehmen in seiner Antwort. Zoom installierte jedoch auf Mac-Computern einen lokalen Webserver im Hintergrund, der eine Sicherheitsfunktion im Safari-Webbrowser umging, um den Benutzern dieses reibungslose Videoerlebnis zu ermöglichen. Die fragliche Safari-Sicherheitsfunktion erforderte eine Bestätigung des Benutzers, bevor die App auf einem Mac gestartet werden konnte. Die Lösung von Zoom bestand darin, es absichtlich zu umgehen und die Privatsphäre seiner Benutzer zu gefährden, um ihnen ein oder zwei Klicks zu ersparen.

Erst nach der öffentlichen Gegenreaktion im Zuge der Offenlegung hat das Unternehmen sinnvolle Maßnahmen ergriffen. Die erste Antwort des Unternehmens deutete darauf hin, dass es nicht die Absicht hatte, die Anwendungsfunktionalität zu ändern, selbst angesichts der erheblichen Sicherheitslücken, die die Anwendung aufwies. Es scheint, dass das Unternehmen bereit war, der Benutzererfahrung Vorrang vor der Benutzersicherheit zu geben. Eine reibungslose Benutzererfahrung ist zweifellos für jede Online-Bewerbung von Vorteil, darf jedoch keinesfalls die Sicherheit und den Datenschutz beeinträchtigen.

Der Mitbegründer und CEO des Unternehmens, Eric S. Yuan, räumte später ein, dass Zoom die Situation schlecht gehandhabt habe und entschlossen sei, es in Zukunft besser zu machen. Yuan erklärte in einem Blogbeitrag, dass "wir die Situation falsch eingeschätzt und nicht schnell genug reagiert haben - und das liegt an uns. Wir übernehmen die volle Verantwortung und haben viel gelernt. Was ich Ihnen sagen kann, ist, dass wir die Sicherheit der Benutzer unglaublich ernst nehmen und uns von ganzem Herzen dafür einsetzen, dass unsere Benutzer das Richtige tun. Außerdem war unser aktueller Eskalationsprozess in diesem Fall eindeutig nicht gut genug. Wir haben Schritte unternommen, um unseren Prozess zum Empfangen, Eskalieren und Schließen aller zukünftigen sicherheitsrelevanten Probleme zu verbessern. “

"Wir haben die Situation falsch eingeschätzt und nicht schnell genug reagiert - und das liegt an uns.

Letztendlich bleibt jedoch die Realität bestehen, dass wir, wenn der Forscher den Bedingungen der NDA, die Zoom ihm vorlegte, zugestimmt und die Offenlegung seiner Ergebnisse untersagt hätte, höchstwahrscheinlich nie etwas über die Sicherheitsanfälligkeit gehört hätten. Schlimmer noch, das Unternehmen hätte das Problem wahrscheinlich nie beheben können, sodass Millionen von Benutzern einer schwerwiegenden Verletzung der Privatsphäre ausgesetzt waren.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me