Lazada, E-Commerce-Plattformen Südostasiens, kündigt den Start eines öffentlichen Bug-Bounty-Programms mit YesWeHack zur Identifizierung von Sicherheitslücken an. Seit Januar 2020 arbeitet Lazada im Rahmen eines privaten Bug-Bounty-Programms erfolgreich mit ethischen Hackern zusammen, um Sicherheitslücken in seiner IT-Umgebung zu finden. Nun öffnet das Unternehmen das Programm für die gesamte Cybersicherheits-Community.
Mit dem Start dieses öffentlichen Bug-Bounty-Programms setzt Lazada ein Zeichen für die E-Commerce-Branche und unterstreicht die Priorität, die Sicherheit und Transparenz für seine Kunden und Partner haben. Bis zu 10.000 US-Dollar bietet Lazada Sicherheitsforschern pro Bounty an.
Der Schutz von Kundendaten hat höchste Priorität
Das 2012 gegründete Unternehmen Lazada mit Hauptsitz in Singapur ist eine der führenden E-Commerce-Plattformen in Südostasien und wurde 2016 von der Alibaba Group übernommen. Das Unternehmen, das in Indonesien, Malaysia, den Philippinen, Singapur, Thailand und Vietnam tätig ist, bietet neben LazMall, dem größten virtuellen Einkaufszentrum der Region mit über 18.000 Marken, auch Lösungen für Logistik, Retail und Bezahldienste an.
Seit dem Start seines privaten Bug-Bounty-Programms hat Lazada mit über hundert ethischen Hackern, die bei YesWeHack Sicherheitsforscher genannt werden, zusammengearbeitet. Um Schwachstellen aufzudecken, hat Lazada über 150.000 US-Dollar an Kopfgeldern an die Sicherheitsforscher vergeben. Zu den Maßnahmen zählte auch ein Pre-Launch-Event für das öffentliche Programm, bei dem Hacker aus der YesWeHack-Community innerhalb von 48 Stunden Schwachstellen identifizierten.
„In Anbetracht der Wichtigkeit von Daten und persönlichen Informationen, legen wir großen Wert darauf, unsere Kunden zu schützen. Wir haben daran gearbeitet, diese Schwachstellen zu schließen, um eine sichere Einkaufsplattform zu gewährleisten. Angesichts der sich stetig weiterentwickelnden Datensicherheit sowie der Aggressivität von Hackern, die Technologien zum Datendiebstahl nutzen, setzen wir auf die Zusammenarbeit mit der im öffentlichen Programm nun größeren Cybersicherheits-Community, um unser IT-Ökosystem zu stärken“, sagt Alan Chan, Chief Risk Officer der Lazada Group.
„Seit wir mit YesWeHack zusammenarbeiten, haben wir unsere Sicherheit verbessert, indem wir unseren Secure Software Development-Prozess erweitert haben. So konnten wir vermeiden, dass dieselbe Art von Schwachstelle erneut auftritt. Es war sehr nützlich, mithilfe eines größeren Kreises an Sicherheitsforschern bestätigen zu können, dass unsere Sicherheitsüberwachung die Ausnutzung von Schwachstellen abfangen kann.“
Bis zu 10.000 US-Dollar Belohnung für Berichte über kritische Sicherheitslücken
Lazada unternimmt nun weitere Schritte, um seinen Kunden Transparenz und Sicherheit zu bieten, indem es die bisher im privaten Programm getesteten Bereiche in ein öffentliches Programm überführt. Dies ermöglicht es Cybersecurity-Forschern aus der ganzen Welt, am Programm teilzunehmen und Schwachstellen an die E-Commerce-Plattform zu melden.
Darüber hinaus legt Lazada besonderes Augenmerk auf Schwachstellen, die personenbezogene Daten betreffen und einen Schweregrad von „hoch“ oder „kritisch“ haben. Für eingereichte Berichte über kritische Schwachstellen wird Lazada bis zu 10.000 US-Dollar an Sicherheitsforscher auszahlen.
„Mit dem Start dieses neuen, öffentlichen Bug-Bounty-Programms senden wir die klare Botschaft, dass wir uns der Wichtigkeit der Daten in unserem Besitz bewusst sind. Wir glauben an die Expertise der YesWeHack-Community und freuen uns darauf, weiterhin mit ethischen Hackern zusammenzuarbeiten, um neue Angriffsmethoden zu identifizieren und ihnen entgegenzuwirken. Es geht darum, unsere Daten wie auch unsere Mitarbeiter zu schützen sowie unsere Kunden vor Sicherheitslücken zu bewahren“, sagt Franck Vervial, Head of Cyberdefence bei Lazada.
„YesWeHack freut sich sehr, mit Lazada zusammenzuarbeiten und unseren Markt in Asien zu erweitern. So stellen wir sicher, dass die Lazada E-Commerce-Plattform und ihre Kunden gegen immer ausgefeiltere Cyberbedrohungen geschützt sind“, sagt Kevin Gallerin, Managing Director APAC bei YesWeHack. „Die Umstellung auf ein öffentliches Programm folgt auf eine mehr als 18-monatige Zusammenarbeit, in der unsere globale Gemeinschaft von Sicherheitsforschern ihre Effektivität und ihr breites Spektrum an Fähigkeiten unter Beweis gestellt hat. Indem Lazada sich nun an eine noch breitere Community wendet, stärkt das Unternehmen seine Sicherheit und setzt sich für Transparenz sowie Datenschutz ein. Auf diese Weise kann Lazada letztlich das Vertrauen und die Erfahrung von mehreren Millionen Nutzern in ganz APAC aufbauen und erhalten.“
