Håll dig uppdaterad med vårt kostnadsfria nyhetsbrev

Varje vecka får du en sammanfattning av de senaste nyheterna direkt till din inkorg.

Registrera dig

Seriösa buggjägare får kriminella efterföljare

Digitalisering & IT Så kallade bug bounties har under flera år erbjudits av företag. Det är en slags hittelön för den som kan hjälpa till att identifiera skadlig kod. För hackare som funnit fel och sårbarheter har belöningen ibland varit stor. Som så ofta får den här typen av företeelser sina mindre nogräknade efterföljare.

Seriösa buggjägare får kriminella efterföljare
Beg bounties möjliggörs av miljontals dåligt säkrade webbplatser där ägarna saknar kunskap och resurser att se igenom oseriösa felrapporter.

IT-säkerhetsföretaget Sophos har funnit ett växande hot i form av oseriösa och cyberkriminella aktörer som skickar mer eller mindre fejkade felrapporter med betalningskrav – ”beg bounty”. Måltavlan är ofta mindre företag som med begränsad kunskap ska skrämmas till att betala.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
VD-tidningen premium

Läs vidare – starta din prenumeration

  • Strategiska artiklar med tips och analyser.
  • 6 fullmatade magasin årligen.
  • Tillgång till premiumnyheter på vdtidningen.se.
  • 100 procents fokus på vd-rollen.
Redan prenumerant?

Beg bounties möjliggörs av miljontals dåligt säkrade webbplatser där ägarna saknar kunskap och resurser att se igenom oseriösa felrapporter.

– Utvecklingen följer mönstret där cyberkriminella är opportunister. I det här fallet ser de en ny möjlighet att spela på rädsla och okunskap. E-postmeddelandet som skickas innehåller ofta en rapport som pekar på falska buggar och felkonfigurationer. För den oinvigde kan det förstås se allvarligt ut men man bör inte inleda någon slags dialog med avsändaren. Så här långt har vi inte funnit någon beg bounty som motiverar en betalning, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Den som får e-post där avsändaren vill ha betalt för någon form av fel- eller sårbarhetsrapport bör inte betala men däremot ta det som en varning. Det är ett tecken på att webbtjänstens eller webbapplikationens säkerhet sannolikt behöver ses över och förbättras. Om det krävs bör man ta hjälp av externa experter.

– Det här visar att företag ofta behöver tänka mer proaktivt och se till att de skydd man har kan stoppa så kallade exploit techniques. Det innebär att man inte bara fokuserar på själva sårbarheten utan också analyserar om olika metoder används för att utnyttja sårbarheten för att exempelvis exekvera skadlig kod på enheten eller servern, avslutar Per Söderqvist.

Läs mer om beg bounties här

Karriär

Strategi & målstyrning

Kunskapsmaterial

Inspiration

Ledarskap & styrning

VD-tidningen

Vd-tidningen Premium

För dig som har 100 procents fokus på vd-rollen.
Full tillgång till strategiska artiklar med tips och analyser.