„Website Security Vulnerability Notification“ – was steckt hinter den OpenBugBounty Meldungen per Email? – Viele WordPress Nutzer berichten davon, dass in den letzten Wochen und Tagen immer mal wieder eine E-Mail von der Webseite openbugbounty.org eingetroffen ist, in der vor Sicherheitsproblemen auf der eigenen Webseite gewarnt wurde. Teilweise werden dabei konkrete Sicherheitslücken genannt, oft sind es aber nur allgemeine Beschreibungen von Sicherheitsproblemen, ohne das eine Lücke im Detail angeben wird.
Webseitenbetreiber sind dann oft verunsichert. Gibt es wirklich Sicherheitsprobleme auf der Webseite oder ist das nur Scareware und Meldungen um Geld zu verdienen? Daher habe ich hier ein paar Details und Hintergründe zu dieser Plattform zusammengestellt.
Was steckt hinter OpenBugBounty?
Prinzipiell ist die Webseite openbugbounty.org eine Plattform, auf der Sicherheitsexperten Fehler, Bugs und Sicherheitsproblemen auf Webseiten melden können. Die Seite selbst stellt also keine Meldungen zur Verfügung, sondern die Nutzer auf der einen Seite können Webseiten auf der anderen Seite warnen.
Allerdings prüft die Seite die Angaben. Eine Meldung wird daher nur erstellt, wenn auch wirklich ein Problem auf der Webseite vorliegt und sich dieses Problem auch replizieren lässt. Wenn man eine Mail von dem Service bekommt, ist also wirklich etwas mit der eigenen Webseite im Argen.
Ist OpenBugBounty Scareware?
Mittlerweile nutzen viele „Sicherheitsexperten“ die Webseite aber auch, um bekannte Probleme massenhaft zu melden und dann nur gegen Bezahlung die Lücken zu verraten. Das ist inzwischen immer häufiger der Fall.
Das Problem: nicht immer sind solche Meldungen auch wirklich schwerwiegende Probleme. Einige Meldungen kann man oft auch ignorieren, weil WordPress damit normal arbeitet und sie kein Sicherheitsproblem darstellen. Das sind beispielsweise:
- Probleme mit der jQuery-Version – das sind oft ältere Versionen dieser Datei, die aber kein Sicherheitsheitsproblem darstellen. WordPress verwendet auch bei älteren jQuerys jeweils die sicherste Variante. Es kann aber zumindest nicht schaden, Theme, Core und Plugins auf den neusten Stand zu bringen und zu schauen, ob dann auch gleich eine neuer jQuery Version mitgeliefert wird.
- XMLRPC ist von außen erreichbar – WordPress sichert diese Schnittstelle ab, daher ist es kein Problem wenn darauf zugegriffen werden kann, einige WP Funktionen müssen sogar darauf zugreifen können.
- wp-json ist von außen erreichbar – Hier gilt das Gleiche wie bei der XMLRPC Schnittstelle. Auch dies ist in dem Fall kein Sicherheitsproblem, sondern teilweise wichtig für den Betrieb der Seite.
- Security Headers sind nicht gesetzt – Mit Security Headers kann man tatsächlich die Sicherheit erhöhen, in dem man Anweisungen mitschickt, wie sich eine Browser verhalten soll. Für WordPress ist das aber in den meisten Fällen komplett unnötig, da solche Header in der Regel nur in extrem selten Fällen wirklich Probleme verhindern.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) nicht gesetzt – DMARC Einträge sollen die Sicherheit von Mails erhöhen, sie können sinnvoll sein, oft aber auch nicht. Daher sind sie für die meisten Webseiten kein direktes Sicherheitsproblem.
- Bei Access Control Meldungen wird oft nur angemerkt, dass der Admin Nutzer frei zugänglich ist. Das kann, muss aber ein Problem sein. Teilweise sind hier aber auch andere Probleme zu finden – es lohnt sich daher bei dieser Meldung genauer hinzuschauen.
Bei diesen Problemen muss man also nicht unbedingt aktiv werden. Es gibt aber auch Meldungen von openbugbounty, da sollte man unbedingt handeln. Das sind sowohl XSS Lücken als auch Remote Code Execuition Probleme. Dann können Dritte eigenen Code auf der Webseite ausführen und das kann dazu führen, dass die WP Installation kompromittiert wird.
Generell: Meldungen von OpenBugBounty sind kein Spam, sondern können auf Probleme auf der Webseite hindeuten. In vielen Fällen muss man aber nicht aktiv werden, nur selten besteht wirklich Gefahr für die eigene Webseite.
Sicherheit für WordPress
Es gibt mittlerweile viele Sicherheitstipps für WordPress und in der Regel sollte man keine Meldungen von OpenBugBounty erhalten, wenn man jeweils aktuelle Versionen des WP Core, des Themes und auch der Plugins nutzt.
Falls doch eine Mail angekommen sein sollte, lohnt es sich auf jeden Fall, genauer hinzuschauen und im Zweifel auch einen Experten darüber blicken zu lassen. Es kann ein Problem mit der Webseite sein – in den meisten Fällen ist es das aber nicht.
Hilfreiche Sicherheitstipps gibt es hier:
Ist das Spam? Der Link geht in einen 404er, E-Mail ist nicht signiert:
OpenBugBounty
Make the web a safer place
A FLAW FOUND ON YOUR WEBSITE!
Website Security Vulnerability Notification
Hello, a security researcher reported a security vulnerability affecting meine-Domain.de website via Open Bug Bounty coordinated and responsible disclosure program: https://www.openbugbounty.org/researchers/YassDennis/
Following ISO/IEC 29147 standard guidelines, we verified the vulnerability’s existence prior to notifying you. Please contact the security researcher directly for technical details of the vulnerability. The researcher may also help remediate the vulnerability if you need any assistance. If you received this notification by error, please accept our apologies and forward it to your IT security team or a person in charge of your website security.
For more Details of the Vulnerability contact the security researcher
Profile of security researcher : https://www.openbugbounty.org/researchers/YassDennis/
Contact the researcher directly here : dennisyassine@gmail.com
Also Visit the profile for more information
Might you need any help, please, refer to: https://www.openbugbounty.org/open-bug-bounty/
Stay secure,
Open Bug Bounty
Making Web Safer
DISCLAIMER: The non-profit Open Bug Bounty project has no direct or indirect relations with security researchers. Our sole mission is to verify the submissions and notify website owners as soon as possible to keep their websites safe.
Es ist nicht direkt Spam, sondern meistens eine allgemeine Sicherheitsverletzung, die aber in der Regel keine schwerwiegenden Konsequenzen hat. Bei meiner letzten Meldung von OBB war es die Sicherheitslücke von All in One SEO, die ich zu dem Zeitpunkt aber bereits durch das Update geschlossen hatte. Von daher schauen, dass Core, Plugins und Theme auf dem aktuellen Stand sind, dann kann man diese Mails an sich ignorieren.
„researcher“ YassDennis scheint immer noch aktiv – im Gegensatz zu seiner Profilseite…
Man kann einen eigenen Auftrag zum Seitencheck platzieren und schauen, ob dabei etwas Sinniges herauskommt
openbugbounty has clarified that those letters are not related to them
https://www.openbugbounty.org/external-emails-warning/
Bei der neuesten Nachricht von OBB handelt es sich um eine allgemeine Sicherheitslücke. Auch wenn dies keine schwerwiegenden Folgen hat, ist es immer besser, auf Nummer sicher zu gehen, also aktualisieren Sie Ihre Plugins und Themes, bevor Sie diese E-Mails ignorieren!
Großartiger Artikel….! Vielen Dank
Wirklich schön geschrieben! Sehr informativ und hilfreich!
Von dem Thema habe ich in der Tat lange nichts mehr gehört. Aber da man ja sowieso immer schauen sollte, dass Core, Plugins und Themes upgedatet sind, können dann diese Mails theoretisch ignoriert werden.
Such emails still exist in 2024, but it is always worth taking a close look at the sender: From: „Openbugbounty“
An – almost – correct domain was used here. But not that of the OBB organization.