Südostasiatische eCommerce-Plattform Lazada startet öffentliches Bug-Bounty-Programm mit YesWeHack
Südostasiens führende eCommerce-Plattform Lazada kündigt den Start eines öffentlichen Bug Bounty-Programms mit YesWeHack an, um Schwachstellen zu identifizieren, nachdem ein erfolgreiches 18-monatiges privates Programm durchgeführt wurde. Seit Januar 2020 arbeitet Lazada im Rahmen eines privaten Bug-Bounty-Programms mit ethischen Hackern zusammen, um Sicherheitslücken in seiner IT-Umgebung aufzuspüren, und öffnet das Programm nun für die gesamte Cybersicherheits-Community.
Mit dem Start dieses öffentlichen Bug-Bounty-Programms setzt Lazada ein Zeichen für die eCommerce-Industrie und unterstreicht die Priorität, die es auf Sicherheit und Transparenz für seine Kunden und Partner legt, indem es Sicherheitsforschern bis zu 10.000 US-Dollar pro Bounty anbietet.
Der Schutz von Kundendaten hat höchste Priorität
Lazada wurde 2012 gegründet und hat seinen Hauptsitz in Singapur. Das Unternehmen ist eine der führenden E-Commerce-Plattformen in Südostasien und wurde 2016 von der Alibaba Group übernommen. Das Unternehmen, das in Indonesien, Malaysia, den Philippinen, Singapur, Thailand und Vietnam tätig ist, bietet neben LazMall, dem größten virtuellen Einkaufszentrum der Region mit über 18.000 Marken, auch Lösungen in den Bereichen Logistik, Einzelhandelstechnologie und Zahlungsdienste an.
Seit dem Start seines privaten Bug-Bounty-Programms hat Lazada mit über hundert ethischen Hackern zusammengearbeitet, um Schwachstellen aufzudecken, und hat über 150.000 US$ an Bounties an Sicherheitsforscher vergeben. Dazu gehört ein Pre-Launch-Event für das öffentliche Programm, bei dem Hacker aus der YesWeHack-Community innerhalb von 48 Stunden Schwachstellen identifizierten.
„In Anbetracht der Wichtigkeit von Daten und persönlichen Informationen, legt Lazada großen Wert auf den Schutz unserer Kunden und wir haben daran gearbeitet, diese Sicherheitslücken zu schließen, um eine sichere Einkaufsplattform zu gewährleisten. Mit der sich entwickelnden Natur der Datensicherheit, sowie der aggressiven Natur von Hackern, die Technologie ausnutzen, um Daten zu stehlen, glauben wir an die Zusammenarbeit mit der größeren Cybersicherheitsgemeinschaft, um unsere IT-Ökosysteme zu stärken“, sagt Alan Chan, Chief Risk Officer der Lazada Group.
„Seit wir mit YesWeHack zusammenarbeiten, haben wir unsere Sicherheit verbessert, indem wir unseren sicheren Softwareentwicklungsprozess verbessert haben, um zu vermeiden, dass dieselbe Art von Schwachstelle wieder auftritt. Es war sehr nützlich, mit den weiteren Forschern zu überprüfen, dass unsere Sicherheitsüberwachung die Ausnutzung von Schwachstellen abfangen kann.“
Bis zu 10.000 US-Dollar Belohnung für Berichte über kritische Sicherheitslücken
Lazada unternimmt nun weitere Schritte, um seinen Kunden Transparenz und Sicherheit zu bieten, indem es die bisher im privaten Programm getesteten Bereiche auf ein öffentliches Programm überträgt. Dies ermöglicht es Cybersecurity-Forschern aus der ganzen Welt, an dem Programm teilzunehmen und Schwachstellen an die eCommerce-Plattform zu melden.
Darüber hinaus wird besonderes Augenmerk auf Schwachstellen gelegt, die personenbezogene Daten betreffen und einen Schweregrad von „hoch“ oder „kritisch“ haben. Für eingereichte Berichte über kritische Sicherheitslücken zahlt Lazada bis zu 10.000 US-Dollar an Sicherheitsforscher aus. Weitere Informationen zum Public Bounty Programm finden Sie hier .
„Mit dem Start dieses neuesten öffentlichen Bug-Bounty-Programms senden wir eine klare Botschaft an alle, dass wir die Bedeutung der Daten in unserem Besitz schätzen. Wir glauben an die Expertise der YesWeHack-Community und freuen uns darauf, weiterhin mit ethischen Hackern zusammenzuarbeiten, um neue Angriffsmethoden zu identifizieren und ihnen entgegenzuwirken. Es geht um den Schutz unserer Daten, den Schutz unserer Mitarbeiter und den Schutz unserer Kunden vor Schwachstellen“, sagt Franck Vervial, Head of Cyberdefence bei Lazada.
„YesWeHack ist erfreut, mit Lazada zusammenzuarbeiten und unseren Markt in Asien zu erweitern, um sicherzustellen, dass ihre E-Commerce-Plattform und ihre Kunden gegen immer raffiniertere Cyber-Bedrohungen geschützt sind“, sagt Kevin Gallerin, Managing Director, APAC bei YesWeHack. „Die Umstellung auf ein öffentliches Programm folgt auf eine mehr als 18-monatige Zusammenarbeit, in der unsere globale Gemeinschaft von Forschern ihre Effektivität und ihr breites Spektrum an Fähigkeiten unter Beweis gestellt hat. Durch das Erreichen einer breiteren Community stärkt Lazada seine Sicherheit, setzt sich für Transparenz sowie Datenschutz und -sicherheit ein. Letztlich geht es darum, das Vertrauen und die Erfahrung von mehreren Millionen Nutzern in ganz APAC aufzubauen und zu erhalten.“