{"id":1402,"date":"2021-02-10T15:59:12","date_gmt":"2021-02-10T14:59:12","guid":{"rendered":"https:\/\/ekiwi.de\/?p=1402"},"modified":"2021-02-22T19:27:39","modified_gmt":"2021-02-22T18:27:39","slug":"openbugbounty-security-vulnerability-notification-was-steckt-dahinter","status":"publish","type":"post","link":"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/","title":{"rendered":"OpenBugBounty &#8211; Security Vulnerability Notification &#8211; Was steckt dahinter?"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhalt<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Security_Vulnerability_Notifaction_%E2%80%93_was_zur_Hoelle\" >Security Vulnerability Notifaction &#8211; was zur H\u00f6lle?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Was_ist_OpenBugBounty\" >Was ist OpenBugBounty?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Was_fuer_ein_Problem_wurde_gemeldet\" >Was f\u00fcr ein Problem wurde gemeldet?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Kontaktieren_des_Melders\" >Kontaktieren des Melders<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Update_Rueckmeldung\" >Update: R\u00fcckmeldung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Update_%E2%80%93_19022021\" >Update &#8211; 19.02.2021<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Auch_betroffen\" >Auch betroffen?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/ekiwi.de\/index.php\/1402\/openbugbounty-security-vulnerability-notification-was-steckt-dahinter\/#Weitere_Erfahrungsberichte\" >Weitere Erfahrungsberichte<\/a><\/li><\/ul><\/nav><\/div>\n<p>Wir haben einen Security-Hinweis erhalten f\u00fcr eine unserer Webseiten. Was steckt dahinter.<\/p>\n<p><!--more--><\/p>\n<p>Vorab die Sache ist noch in Kl\u00e4rung und ich werde den Artikel entsprechend erweitern, sobald ich neue Erkenntnisse habe.<\/p>\n<p><iframe loading=\"lazy\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/thaa0YWhqyU\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture\" allowfullscreen><\/iframe><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Security_Vulnerability_Notifaction_%E2%80%93_was_zur_Hoelle\"><\/span>Security Vulnerability Notifaction &#8211; was zur H\u00f6lle?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die unten gezeigte E-Mail erreichte mich vor ein paar Tagen. Ich h\u00e4tte die E-Mail fast gel\u00f6scht, da ich recht viele Mails erhalte und ich im ersten Moment von Spam ausgegangen bin. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/02\/bug_1.png\" alt=\"\" width=\"848\" height=\"765\" class=\"alignnone size-full wp-image-1404\" srcset=\"\/wp-content\/uploads\/2021\/02\/bug_1.png 848w, \/wp-content\/uploads\/2021\/02\/bug_1-300x271.png 300w, \/wp-content\/uploads\/2021\/02\/bug_1-768x693.png 768w\" sizes=\"auto, (max-width: 848px) 100vw, 848px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_OpenBugBounty\"><\/span>Was ist OpenBugBounty?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die gro\u00dfe Frage ist, was ist die Webseite \u00fcberhaupt und ist die Webseite seri\u00f6s? Steckt Abzocke dahinter? Nein! Erstmal nicht. Bei der Webseite handelt es sich um eine Plattform auf welcher Sicherheitsfachleute L\u00fccken von Webseiten und Diensten einstellen k\u00f6nnen. Die Details werden aus Sicherheitsgr\u00fcnden nicht weiter genannt, sondern m\u00fcssen erfragt werden. Die Webseite selbst ist nicht kommerziell, jeder kann sich anmelden.<\/p>\n<p>Das Gesch\u00e4ftsmodell scheint f\u00fcr die Meldenden eher so zu sein: ich melde eine Sicherheitsl\u00fccke, helfe bei der Behebung und am Ende gibt es &#8222;Bug Bounty&#8220; in Form einer Paypal-Spende. Schwarze Schafe scheint es <a href=\"https:\/\/steigerlegal.ch\/2019\/06\/10\/open-bug-bounty-erpressung\/\" target=\"_blank\" rel=\"noopener\">hier auch zu geben<\/a>.<\/p>\n<p>Bei uns hat &#8222;<a href=\"https:\/\/www.openbugbounty.org\/researchers\/Cyber_India\/\" target=\"_blank\" rel=\"noopener\">Cyber India<\/a>&#8220; eine L\u00fccke gemeldet und schaut man in die Historie seiner \u00dcbermittlungen, ist er recht flei\u00dfig.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/02\/bug_2.png\" alt=\"\" width=\"668\" height=\"536\" class=\"alignnone size-full wp-image-1405\" srcset=\"\/wp-content\/uploads\/2021\/02\/bug_2.png 668w, \/wp-content\/uploads\/2021\/02\/bug_2-300x241.png 300w\" sizes=\"auto, (max-width: 668px) 100vw, 668px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_fuer_ein_Problem_wurde_gemeldet\"><\/span>Was f\u00fcr ein Problem wurde gemeldet?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Sache ist derzeit noch unklar und wird offiziell erstmal nur als &#8222;Improper Access Control&#8220; gemeldet. Das kann am Ende alles M\u00f6gliche sein und WordPress halten wir zwar aktuell, aber irgendein Plugin kann nat\u00fcrlich Sicherheitsl\u00fccken enthalten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/02\/bug_3.png\" alt=\"\" width=\"651\" height=\"270\" class=\"alignnone size-full wp-image-1406\" srcset=\"\/wp-content\/uploads\/2021\/02\/bug_3.png 651w, \/wp-content\/uploads\/2021\/02\/bug_3-300x124.png 300w\" sizes=\"auto, (max-width: 651px) 100vw, 651px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Kontaktieren_des_Melders\"><\/span>Kontaktieren des Melders<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Auf der Webseite finden sich die Kontaktdaten von &#8222;Cyber India&#8220;. Also habe ich ihn direkt mal angeschrieben.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/02\/bug_4.png\" alt=\"\" width=\"618\" height=\"921\" class=\"alignnone size-full wp-image-1407\" srcset=\"\/wp-content\/uploads\/2021\/02\/bug_4.png 618w, \/wp-content\/uploads\/2021\/02\/bug_4-201x300.png 201w\" sizes=\"auto, (max-width: 618px) 100vw, 618px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Update_Rueckmeldung\"><\/span>Update: R\u00fcckmeldung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Erstaunlicherweise recht schnell kam eine umfassende Antwort nur kurz nach der E-Mail. Es geht um XML-RPC, eine Funktion von WordPress, welche es z.B. erlaubt von extern Inhalte einzusteuern. Z.B. \u00fcber den Windows Live Writer.<\/p>\n<p>Die E-Mail ist recht lang und scheint auf jeden Fall eine Vorlage zu sein. Macht auch Sinn, wenn man viele Webseiten untersucht. Ich werde die Sache nun mal pr\u00fcfen und hier ein Update verfassen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Update_%E2%80%93_19022021\"><\/span>Update &#8211; 19.02.2021<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Inzwischen konnte ich mir die Sache in Ruhe anschauen, bem\u00e4ngelt wird die XML-RPC-Schnittstelle von WordPress, welche in der Regel nicht mehr ben\u00f6tigt wird. Es ist also kein wirkliches Sicherheitsrisiko, allerdings kann man diese inzwischen ohne Bedenken deaktivieren. Wie die geht habe ich hier beschrieben:<\/p>\n<ul>\n<li><a href=\"https:\/\/ekiwi.de\/index.php\/1435\/wordpress-xml-rpc-deaktivieren-und-sicherheitsrisiken-minimieren\/\" target=\"_blank\" rel=\"noopener\">WordPress: Xml-Rpc deaktivieren und Sicherheitsrisiken minimieren<\/a>\n<li>\n<\/ul>\n<p>In der E-Mail von Cyber_India werden diese Schritte auch erkl\u00e4rt, zu keinem Zeitpunkt wurde ich dazu gedr\u00e4ngt oder aufgefordert eine Zahlung via Paypal zu leisten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Auch_betroffen\"><\/span>Auch betroffen?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ich w\u00fcrde gerne noch weitere Informationen sammeln, wer auch betroffen ist, kann sich hier gerne in den Kommentaren melden oder direkt bei mir via E-Mail: <em>andy.dunkel@ekiwi.de<\/em>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Weitere_Erfahrungsberichte\"><\/span>Weitere Erfahrungsberichte<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Hier gibt es weitere Informationen von ebenfalls Betroffenen:<\/p>\n<ul>\n<li><a href=\"https:\/\/plutonia-blog.de\/2021\/02\/22\/sicherheitsluecke-improper-access-control\/\">Sicherheitsl\u00fccke (Improper Access Control)? &#8211; Bericht von Silke<\/a><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Wir haben einen Security-Hinweis erhalten f\u00fcr eine unserer Webseiten. Was steckt dahinter.<\/p>\n","protected":false},"author":1,"featured_media":1403,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[51],"tags":[144,132,52],"class_list":["post-1402","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress","tag-security","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1402","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=1402"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1402\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/1403"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=1402"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=1402"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=1402"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}