Mail von OpenBugBounty erhalten ... Bitte um Meinung

  • Betroffene Version
    WoltLab Suite 5.4

    Guten Morgen Community,

    ich habe heute Morgen folgenden Nachricht im Mailposfach gefunden.

    Ist an diesen Sachen etwas dran? Die Meinungen im Internet sind geteilt, was mich verunsichert.

    Vielen Dank für eure Unterstützung.

    webpexel

    Einmal editiert, zuletzt von webpexel (23. Oktober 2021 um 06:30)

  • webpexel 23. Oktober 2021 um 06:31

    Hat den Titel des Themas von „Mail von OpenBugBounty erhalten ... ist da was dran?“ zu „Mail von OpenBugBounty erhalten ... Bitte um Meinung“ geändert.
  • Ich habe dieselbe Mail auch bekommen, aber für eine WordPress-Seite. Also wirklich dieselbe, auch mit derselben OBB-Nummer.

    Also mal davon abgesehen, dass die "Security Researcher" dort keinen guten Job machen, und auch OpenBugBounty nicht hält, was es verspricht, glaube ich hier nicht daran, dass es "ernst gemeint" ist.

    1. Die OBB-Nummer (OBB-2897797) ist dieselbe wie in meiner Mail

    2. Bei OBB gibt es für die Domain auch keinen Eintrag

    3. Vorherige Mails von OBB hatten einen Link zu dem Eintrag in der Datenbank, der fehlt hier komplett

    Was ich mit dem Vorwurf meine, dass die Researchers keinen guten Job machen und auch OBB nicht gut ist:

    Die Mails, die ich in der Vergangenheit bekommen habe, haben 3 Arten von Sicherheitslücken "aufgedeckt".

    Einmal, dass der WordPress-RPC-Dienst einen Bruteforce-Login erlaubt. Das schlägt aber WordFence nach 10 Versuchen tot, sodass man quasi keine Möglichkeit hat, auf die Weise reinzukommen.

    Dann, dass besagter WP-RPC-Dienst die Methode pingback.ping erlaubt, was zum Spammen und DoS fremder Installationen genutzt werden kann - was ich aber mit einem kleinen Hack in meinen Installationen deaktiviert habe.

    Und das aller schärfste war, dass es Links gab, die sich mit target="_blank" aber ohne rel="noopener" öffnen - was Browser aber schon lange Zeit automatisch so interpretieren, weshalb der noopener unnötig ist. Der Researcher hat mir dazu sogar ein PoV geschickt, das bei ihm angeblich ging, bei mir aber nicht, wollte auch ein Video schicken, aber davon habe ich nie wieder gehört.[1][2][3]

    OpenBugBounty behauptet auch, dass sämtliche gemeldeten Lücken auch von der Plattform selbst verifiziert wurden. Aber das ist offensichtlich nicht der Fall. Oder nur lieblos.

    Deshalb gebe ich jetzt auf die Mail nicht allzu viel. Aber du kannst ja mal nachfragen :)

    [1] https://www.chromestatus.com/feature/6140064063029248 Seit Chrome 88 implementiert

    [2] https://developer.mozilla.org/en-US/docs/Web…_types/noopener Note: Setting target="_blank" on <a> elements now implicitly provides the same rel behavior as setting rel="noopener" which does not set window.opener.

    [3] https://developer.apple.com/documentation/…1-release-notes Updated the link behavior for "target=_blank" to include rel="noopener" implicitly.

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)
  • Ist an diesen Sachen etwas dran? Die Meinungen im Internet sind geteilt, was mich verunsichert.

    Ich kenne mich mit der Technik nicht so gut aus. Ich kann nur sagen, falls Du private Dinge preisgeben oder Du irgendetwas bezahlen sollst, sei bitte vorsichtig. Ich bin selbst schon mal auf Internet-Betrug hereingefallen.

    viele Grüße

  • Danke für eure Antworten

    Die OBB-Nummer (OBB-2897797) ist dieselbe wie in meiner Mail

    Sehr interessant ...

    Aber du kannst ja mal nachfragen

    Ich kann nur sagen, falls Du private Dinge preisgeben oder Du irgendetwas bezahlen sollst, sei bitte vorsichtig. Ich bin selbst schon mal auf Internet-Betrug hereingefallen.

    Ich habe nachgefragt und nur das Preisgegeben, was eh auf der Website steht. Bis jetzt ist noch nichts gekommen.

    In der Regel gebe ich nichts auf solche Nachrichten. In diesem Fall wurde ich aber stutzig.

    Sollte noch etwas kommen, poste ich es hier.

    Liebe Grüße

    webpexel

  • Ich habe eine Antwort auf meine Anfrage erhalten, die wie folgt lautet:

    Ist an diesem Thema etwas dran?

    Mit freundlichen Grüßen

    webpexel

  • Ich hatte solch eine E-Mail auch vor Monaten erhalten und war etwas beängstigt. Habe diese an meinen Hoster "WBB-Elite.de" weitergegeben. Kann mich jetzt nicht mehr genau erinnern, wie das ausging. Aber ich glaube, wir haben das ausgesessen. Vielleicht kann Cyperghost hier Genaueres sagen?

  • Auf mich wirkt das, als ob jemand mit solchen Hinweisen einfach nur Geld verdienen will.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • Ich hatte solch eine E-Mail auch vor Monaten erhalten und war etwas beängstigt. Habe diese an meinen Hoster "WBB-Elite.de" weitergegeben. Kann mich jetzt nicht mehr genau erinnern, wie das ausging. Aber ich glaube, wir haben das ausgesessen. Vielleicht kann Cyperghost hier Genaueres sagen?

    Wir haben es abwarten lassen und es hat sich herausgestellt das lediglich eine Seite verfügbar war, die die phpinfo ausgegeben hatte.

    Also, nichts wirklich Sicherheitskritisches :)

  • Ich habe auch noch ein paar solcher Mails bekommen. Dann mit Typo in der Absender-Domain. Beispielsweise openbugsbounty . com (man beachte das s bei bugs) oder openbugsbountty . de (zweimal t bei bountty)

    Ich habe die im Google Admin einfach in einen Filter gepackt und die werden fortan verworfen.

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!