Überspringen und zum Hauptinhalt gehen
Dashlane Logo

Wie das Prämienprogramm zur Fehlerbehebung von Dashlane für mehr Sicherheit sorgt

  |  W. Perry Wortman

Ursprünglich veröffentlicht am 16. Oktober 2020. Zuletzt aktualisiert am 5. Mai 2023.

Sicherheit ist das Kernelement eines Passwort-Managers wie Dashlane. Mit unserem Produkt wollen wir Kunden dabei helfen, ihre digitale Identität, Anmeldedaten, persönliche Daten und Zahlungsdaten auf sichere und bequeme Weise zu speichern.

Um das höchstmögliche Sicherheitsniveau zu gewährleisten, setzen wir auf verschiedene kumulative Praktiken und Sicherheitsebenen. Hier sind einige davon:

  • Während der Produktentwicklung durchläuft jede Codezeile eine obligatorische interne Codeüberprüfung mit mehreren Prüfern aus unserem Entwicklungsteam.
  • Wir führen automatisierte Tools aus, um potenzielle Sicherheitslücken in unserem System zu erkennen.
  • Unser Lebenszyklus bei der Softwareentwicklung basiert auf Konventionen und Best Practices aus standardmäßigen Compliance-Frameworks wie OWASP-, Google-, Apple- und Microsoft-Richtlinien, PCI-DSS und SOC2.
  • Unser dediziertes Sicherheitsteam unterstützt das gesamte Unternehmen dabei, zu gewährleisten, dass wir die richtigen Sicherheitsregeln nutzen.
  • Kürzlich haben wir beschlossen, den Quellcode unserer mobilen Apps öffentlich zu machen, damit noch mehr Personen unseren Code prüfen können.
  • Zu guter Letzt setzen wir auf Prämienprogramme zur Behebung sicherheitsrelevanter Fehler, um die Zahl der talentierten Menschen zu erhöhen, die alle unsere Anwendungen und Dienste prüfen und mögliche Probleme melden.

Was ist ein Prämienprogramm zur Fehlerbehebung?

Ein Prämienprogramm zur Fehlerbehebung ist eine Möglichkeit für Unternehmen, White-Hat-Hacker und Sicherheitsforscher dazu zu bringen, in ihren Produkten nach Schwachstellen und Sicherheitslücken zu suchen, und sie je nach Schwere des gefundenen Problems mit Prämien (Geld) zu belohnen.

White-Hat-Hacker sind ethische Experten für Computersicherheit, die sich auf das Auffinden von Sicherheitsproblemen spezialisiert haben. Sie melden Sicherheitslücken an Unternehmen, um die Qualität und Sicherheit ihrer Produkte zu verbessern. Diese Hacker erledigen die Aufgabe kostenlos (aus Pflichtbewusstsein, um den Schutz aller zu verbessern) oder gegen eine Belohnung (z. B. eine Prämie). Das wird oft als verantwortungsvolle Offenlegung bezeichnet: Wenn White-Hat-Hacker ein Sicherheitsproblem entdecken, informieren sie das Unternehmen. So kann es die Schwachstelle beheben, bevor sie in böswilliger Absicht ausgenutzt oder veröffentlicht wird.

Das Prämienprogramm zur Fehlerbehebung von Dashlane

Bei Dashlane haben wir seit 2015 ein Prämienprogramm zur Fehlerbehebung auf einer Plattform namens HackerOne. HackerOne bringt uns mit Tausenden von Sicherheitsexperten und White-Hat-Hackern in Kontakt. Unser Sicherheitschef nennt die Plattform gerne das „Uber für Sicherheit“. Die Plattform macht es einfach, um Hilfe zu bitten. Wir können auf eine riesige Sicherheits-Community zurückgreifen und dafür sorgen, dass unser Code von mehr Personen geprüft wird, als wenn wir uns ausschließlich auf Dashlane-Mitarbeiter oder externe Sicherheitsprüfer verlassen würden.

Ein Screenshot der Seite von Dashlane auf der HackerOne-Plattform.

Wir haben mit einem privaten Programm begonnen. Bei HackerOne können Sie zunächst beschränken, wer Beiträge leisten darf, und die Zahl der Experten, die Probleme melden dürfen, dann schrittweise erhöhen. Das war wichtig, um zu lernen, wie wir den mit HackerOne-Meldungen verbundenen Workflow verwalten können.

Es ist wichtig, die richtige interne Struktur aufzubauen, um White-Hat-Hacker innerhalb einer angemessenen Zeit bewerten, auswählen und belohnen zu können. Die Teilnehmer des Programms erwarten, dass wir schnell reagieren. Andernfalls werden sie sich anderen attraktiveren Programmen zuwenden. Natürlich spielt auch die Höhe der Prämie eine wichtige Rolle: Unsere Prämienbeträge reichen von 200 Dollar für einen Fehler mit geringem Schweregrad bis hin zu 5.000 Dollar für kritische Fehler. Sehen Sie sich im Folgenden unsere aktuelle Antworteffizienz und Programmstatistik bei HackerOne an.

Ein Screenshot der Antworteffizienz von Dashlane in HackerOne. Die durchschnittliche Zeit bis zur ersten Antwort beträgt 7 Stunden. Die Zeit, die für die Triage durchschnittlich benötigt wird, beträgt 4 Tage. Die durchschnittliche Zeit bis zur Prämie beläuft sich auf 22 Stunden. Die durchschnittliche Zeit bis zur Lösung beträgt ca. 1 Monat. 90 % der Meldungen erfüllen Antwortstandards, basierend auf den letzten 90 Tagen.
Ein Screenshot der Programmstatistik von Dashlane in HackerOne. Die Gesamtsumme der ausgezahlten Prämien liegt bei weniger als 70.000 Dollar. Die durchschnittliche Prämie beträgt 200 Dollar. Die Bandbreite der maximalen Prämien liegt zwischen 600 und 2.000 Dollar. In den letzten 90 Tagen wurden Prämien in Höhe von 5.000 Dollar ausgezahlt. Außerdem gingen in den letzten 90 Tagen 21 Meldungen ein. Die letzte Meldung wurde vor 13 Tagen behoben. Insgesamt wurden 266 Meldungen behoben. 158 Hackern wurde gedankt.

Wir haben unser Programm kontinuierlich verfeinert, einschließlich der von uns als förderfähig eingestuften Meldungen und Ausschlüsse im Programm. So konnten wir verhindern, dass zu viele unnütze oder falsch positive Meldungen eingehen.

Als wir zuversichtlich waren, dass wir mehr Meldungen bearbeiten können würden, haben wir die Zahl der privaten Einladungen zu unserem Programm erhöht, bis wir es 2017 komplett öffentlich machen konnten.

Außerdem haben wir unserer Website Sicherheitsressourcen hinzugefügt, um es Nutzern zu erleichtern, Sicherheitsprobleme zu melden. Konsultieren Sie dashlane.com/security/researchers, um alles über unser Programm und die Frage zu erfahren, wie Sie daran teilnehmen können. Wir freuen uns sehr, wenn uns White-Hat-Hacker und Sicherheitsforscher Konzeptcode oder Screenshots liefern. Das hilft uns dabei, Probleme einfacher abzuschätzen und zu reproduzieren. Als Best Practice stellen wir Ihnen auch einen PGP-Schlüssel zur Verfügung, damit Sie bei Bedarf auch vertraulichere Daten übermitteln können.

Tipps für die ersten Schritte

Sicherheit ist für alle wichtig. Falls Sie im Bereich Softwareentwicklung arbeiten, sollten Sie frühzeitig ein eigenes Sicherheitsprotokoll starten, selbst wenn Sie noch ein junges Startup sind. Das ist einfach und nicht so teuer.

  1. Beginnen Sie so schnell wie möglich mit einem privaten Programm, das 50 bis 100 eingeladene White-Hat-Hacker umfasst. Sie müssen Prämien anbieten, die sich am Markt orientieren, um attraktiv zu sein.
  2. In diesen ersten Tagen sollten Sie den internen Prozess zur Bearbeitung gemeldeter Schwachstellen aufbauen. Optimieren Sie die Beschreibung und Konfiguration Ihres Programms.
  3. Nutzen Sie Ihr Prämienprogramm zur Fehlerbehebung nicht nur zur Verbesserung der Produktsicherheit, sondern auch als Marketinginstrument. Insbesondere Unternehmen, die an andere Unternehmen verkaufen, können das Programm auch in ihren Werbekampagnen erwähnen.
  4. Bauen Sie es schrittweise aus, bis Sie bereit dazu sind, an die Öffentlichkeit zu gehen.
  5. An einem bestimmten Zeitpunkt merken Sie vielleicht, dass sich der Fluss der Meldungen verlangsamt. Das bedeutet, dass Sie die Prämien erhöhen und Hacker über neue Funktionen informieren müssen – Forscher wollen ihre Zeit nicht auf alte Programme verschwenden, die nur wenige leichte Gewinne ohne guten Anreiz bieten.

Starten Sie mit dem Prämienprogramm zur Fehlerbehebung von Dashlane, um Ihre Fähigkeiten auf die Probe zu stellen und möglicherweise zusätzliches Geld zu verdienen. Viel Glück bei der Fehlersuche!

Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten

Teilen

FacebookXLinkedInRedditReddit
A picture of the author: W. Perry Wortman
W. Perry Wortman