Der besonders unter macOS und iOS populäre Passwortmanager will über Bugcrowd bis zu 100.000 US-Dollar an Sicherheitsforscher zahlen, die die Anwendung knacken können.

Agile Bits, Hersteller des bekannten Passwortmanagers 1Password, hat auf der Fehlersuchplattform Bugcrowd hohe neue Rewards ausgeschrieben. Zwischen 100 und 100.000 US-Dollar will die kanadische Firma jeweils zahlen, je nach Schwere des entdeckten Bugs und/oder der entdeckten Lücke.

Höchste Ausschreibungssumme auf Bugcrowd

100.000 Dollar ist die höchste bei Bugcrowd verfügbare Ausschreibungssumme. Das Geld wird allerdings nur bezahlt, wenn es einem Sicherheitsforscher oder einem Team gelingt, auf das unverschlüsselte "Bad Poetry"-Flag zuzugreifen, das in einem stark verschlüsselten 1Password-Passworttresor steckt. Fehler dürfen für die verschiedenen 1Password-Anwendungen beziehungsweise Zugangswege gemeldet werden: Sowohl für den neuen, abopflichtigen Webdienst (Team, Family) als auch die bestehenden nativen Apps für iOS, macOS, Windows und Android. Der Funktionsumfang kann sich dabei unterscheiden.

Zum Einstieg gibt Agile Bits einige Tipps. So sei der Webdienst 1Password.com "kein einfaches Web-Angriffsziel", Scanner oder Standard-XSS-Injektionen führen demnach zu wenig. Es gibt einen eigenen Passworttresor für Sicherheitsforscher mit zusätzlichen Informationen – um diesen zu nutzen, müssen Hacker allerdings per E-Mail eine Einladung anfordern, was einem "Opt-in" entspricht.

Probetresor auf Einladung

Weitere Details zum Bug-Reward-Programm nennt Agile Bits auf seiner Bugcrowd-Seite. Dort will die Firma auch Updates zu aktuellen Entwicklungen geben. 1Password.com war kürzlich vom großen Datenleck bei Cloudflare betroffen, laut Angaben der Firma gab es aufgrund mehrfacher Verschlüsselung aber keine Leaks sensibler Informationen.

1Password wird als Einzelanwendung sowie mittlerweile vor allem als Abonnementdienst verkauft. Bei jährlicher Zahlung werden mindestens 3 Dollar für Einzelpersonen fällig, Familien zahlen 5 Dollar. Die Mac-Anwendung wird inklusive Lizenz für die Windows-Variante derzeit noch als Einmalkauf zu 65 Dollar offeriert. (bsc)