Quelle: SBB
SBB mit öffentlichem Bug-Bounty-Programm
Die SBB wollen Bugs auf Swisspass.ch und anderen Online-Plattformen auf die Spur kommen und starten ein Bug-Bounty-Programm, gestützt durch Intigrity.com.
20. Februar 2023
Erst vor kurzem waren die Schweizerischen Bundesbahnen von einer Cyberattacke betroffen, die über infizierte E-Mail-Anhänge erfolgte ("Swiss IT Magazine" berichtete). Jetzt haben die SBB ein öffentliches Bug-Bounty-Programm lanciert, das mithilfe der spezialisierten Plattform Intigrity realisiert wird. Laut der Ausschreibung wollen die SBB damit vor allem mögliche Leaks von Kundendaten sowie potenzielle Datenmanipulationen ausfindig machen. Die Prämien für gefundene Bugs reichen im Tier 1 von 25 Euro für eher unbedeutende Fehler bis zu 4000 Euro für "ausserordentliche" Bugs, im Tier 2 werden null bis 2000 Euro ausgezahlt – ausgenommen sind SBB-Mitarbeitende und externe Partner. Die SBB versprechen, innerhalb von maximal 2 Wochen auf Bug-Meldungen zu reagieren.
Bei Tier 1 des Programms geht es einzig und allein um die Plattform Swisspass.ch. Alle anderen aufgeführten SBB-Plattformen sind im Tier 2 mit den um die Hälfte geringeren Prämien zusammengefasst, für die Entdeckung unwichtiger Fehler wird gar nichts bezahlt. Konkret umfasst Tier 2 die Plattformen Bahninfrastruktur.sbb.ch, Beta.sbb.ch, Bimchange.sbb.ch, Business.sbb.ch, Elvetino.ch, Sbbcargo.com sowie Transsicura.ch. Weitere SBB-Websites sind nicht im Bug-Bounty-Programm enthalten. (ubi)
Bei Tier 1 des Programms geht es einzig und allein um die Plattform Swisspass.ch. Alle anderen aufgeführten SBB-Plattformen sind im Tier 2 mit den um die Hälfte geringeren Prämien zusammengefasst, für die Entdeckung unwichtiger Fehler wird gar nichts bezahlt. Konkret umfasst Tier 2 die Plattformen Bahninfrastruktur.sbb.ch, Beta.sbb.ch, Bimchange.sbb.ch, Business.sbb.ch, Elvetino.ch, Sbbcargo.com sowie Transsicura.ch. Weitere SBB-Websites sind nicht im Bug-Bounty-Programm enthalten. (ubi)
Weitere Artikel zum Thema
SBB sind Opfer einer Cyberattacke
9. Februar 2023 - Mittels E-Mails und angehängter Schadsoftware konnten Cyberkriminelle in einen Teil des Unternehmensnetzwerks eindringen. Es wurden aber keine Kundendaten geklaut.Kein Swisspass-Login mehr mit SwissID
2. Februar 2022 - Die SBB stellen den Zugang via SwissID auf Swisspass.ch per Ende März 2022 ein. Man kann sich dann nur noch mit dem gängigen Login per E-Mail-Adresse und Passwort anmelden.Daten von Swisspass-Kunden von Datenleck bei SBB betroffen
24. Januar 2022 - Ein schweres Datenleck bei der SBB hat dazu geführt, dass die persönlichen Daten von rund 500'000 Swisspass-Kunden offen im Netz einsehbar waren. Laut SBB konnte das Leck mittlerweile geschlossen werden.Artikel kommentieren
