The companies Chiefs AG and NIKIN AG proactively allowed 60 ethical hackers to attack their IT systems. A total of 36 security vulnerabilities were identified—some of them critical. The reality check was organized by Bug Bounty Switzerland in collaboration with Cisco Switzerland.

How about a delicious protein bar—or perhaps a sustainably produced T-shirt? Almost everyone knows and loves them: Chiefs and NIKIN. These two Swiss lifestyle brands have long been setting new standards in their respective industries. Now, they’re going the extra mile when it comes to cybersecurity—becoming role models for the entire Swiss e-commerce sector.

From March 10 to 28, all IT systems of both companies were rigorously tested by 60 ethical hackers. This legal hacking operation, known as a “Reality Check,” aimed to proactively uncover hidden vulnerabilities.

Within a very short time, the companies were able to gain a realistic assessment of their exposure to risk and significantly improve their security posture.

After all, who better to reveal where you’re still vulnerable to malicious cyberattacks than a real hacker?

“Experiencing a legal hacking attack live is something I would truly recommend to any organization—nowhere else are your weaknesses and opportunities for improvement revealed so clearly and unfiltered!”

– Pascal Zeder, Chiefs

Five critical security vulnerabilities discovered

At first glance, both companies appeared to be very well protected. Both use modern and widely adopted e-commerce platforms with a high level of security maturity. As a result, during the initial weeks, the ten invited ethical hackers uncovered only twelve medium-severity vulnerabilities and one high-severity issue.

On the seventh day of testing, the situation was reviewed by our team—and something was done that is only possible in a bug bounty program: direct conversations were held with the ethical hackers, and the security test was optimized in real time during the active testing phase.

On the eighth and ninth day, the bug bounty program was significantly scaled, with the number of invited hackers increased to 60—virtually at the push of a button. Just one day later, a wave of highly critical security vulnerabilities began to surface.

Over the 18-day duration of the Reality Check, a total of 36 security vulnerabilities were discovered. In return, CHF 20,000 was paid out to the ethical hackers. Five of these vulnerabilities were classified as critical—they could have allowed full takeover of one of the tested shop or server systems, as well as access to customer data.

Because these vulnerabilities were discovered proactively as part of a Bug Bounty Reality Check, they could be remediated before being exploited by cybercriminals.

This powerfully demonstrates that almost any IT system—no matter how modern or well-protected—can be hacked when the right people, with the right skills and the right motivation, come together at the right time.

And it’s precisely this kind of unique matchmaking that Bug Bounty Switzerland enables through its bug bounty programs—effectively and impressively.

We’re proud of our vulnerabilities.

A flawless IT system without vulnerabilities no longer exists. The digital world has become far too complex and fast-paced. That’s why traditional security measures alone are no longer sufficient to effectively protect against cyberattacks.

In fact, there are only two ways to uncover security vulnerabilities you don’t yet know about:

1. Either through criminal hackers in the form of malicious cyberattacks – which are often existential threats.
2. Or proactively, through collaboration with ethical hackers—without causing any harm in the process.

But this requires an open mindset and the understanding that every vulnerability is an opportunity to improve. This cultural shift—toward transparency and a constructive approach to mistakes—is one of the key factors for a successful digital transformation.

In this context, IT security and customer trust (digital trust) are becoming increasingly important competitive advantages.

Chiefs and NIKIN are leading by example and clearly state: “We’re proud of our vulnerabilities—because they help us get better every day!”

“We were truly surprised by the technical sophistication of the hackers and by how much we were able to learn from them.”

– Nicolas Hänny, Co-Founder von NIKIN

Cybersecurity is a team sport.

Today’s cybersecurity challenges can only be tackled through collaboration. This requires a new kind of cooperation—not only within organizations, but far beyond their boundaries.

With this flagship project, Cisco Switzerland aims to highlight the importance of modern cybersecurity solutions and demonstrate the critical role of bug bounty programs.

To support this initiative, Cisco Switzerland covered the reward payouts for the ethical hackers, while Bug Bounty Switzerland provided its managed service and collaborative platform.

All in line with the motto: “Together for a secure Switzerland!”

“We on the good side need to level up as well. Together with ethical hackers, we can identify critical security vulnerabilities.”

– Roman Stefanov, Cyber Security Sales Lead bei CISCO Schweiz

And how secure are your IT systems?

Zum Reality-Check

Die Unternehmen Chiefs AG und NIKIN AG, haben ihre IT-Systeme proaktiv von 60 ethischen Hackern angreifen lassen. Dabei wurden insgesamt 36, zum Teil kritische, Sicherheitslücken gefunden. Organisiert wurde der Reality-Check von Bug Bounty Switzerland in Zusammenarbeit mit Cisco Schweiz.

Darf’s ein köstlicher Protein-Riegel oder lieber ein nachhaltig produziertes T-Shirt sein? Fast jeder kennt und mag sie: Chiefs und NIKIN. Die beiden Schweizer Lifestyle Brands setzen beide in ihrem Bereich schon lange neue Standards. Nun gehen Sie auch in Bezug auf Cybersicherheit die Extrameile und werden so zum Vorbild für die ganze Schweizer E-Commerce Branche.

Vom 10. – 28. März wurden sämtliche IT-Systeme der beiden Firmen von 60 ethischen Hackern auf Herz und Nieren getestet. Bei diesem legalen Hackerangriff, einem sogenannten Reality-Check, ging es darum verborgene Sicherheitslücken proaktiv zu finden.

Innerhalb von kürzester Zeit konnte so eine realistische Risikoeinschätzung bezüglich der eigenen Verletzlichkeit durchgeführt und die Sicherheit verbessert werden.

Denn wer kann einem besser sagen, wo man vor böswilligen Cyberattacken noch nicht genügend geschützt ist, als ein echter Hacker?

«Einen legalen Hackerangriff live mitzuerleben, würde ich wirklich jeder Organisation empfehlen, den nirgends werden einem die eigenen Fehler und Verbesserungsmöglichkeiten so knallhart aufgezeigt!»

– Pascal Zeder, Chiefs

Fünf kritische Sicherheitslücken gefunden

Auf den ersten Blick schienen beide Firmen bereits sehr gut geschützt zu sein. Bei beiden Firmen werden moderne und bekannte Onlineshop-Systeme mit einer hohen Sicherheitsmaturität eingesetzt. So wurden in den ersten Wochen von den ursprünglich 10 eingeladenen Hackern auch nur 12 mittelschwere Sicherheitslücken (medium) sowie eine Sicherheitslücke mit hoher Relevanz (high) gefunden.

Am siebten Tag vom Test wurde die Situation von unserem Team analysiert und etwas gemacht, was so nur bei einem Bug Bounty Programm möglich ist: Es fanden Gespräche mit den ethischen Hackern statt und der Sicherheitstest wurde noch während der Laufzeit optimiert.

Am achten und neunten Tag wurde das Bug Bounty Programm dann stark skaliert und die Anzahl der eingeladenen Hackern auf 60 erhöht – quasi per Knopfdruck. Bereits ein Tag später, startete dann ein Feuerwerk mit hoch-kritischen Sicherheitslücken, die gefunden wurden.

Während den 18 Tagen Laufzeit vom Reality-Check wurden insgesamt 36 Sicherheitslücken gefunden. Dafür wurden insgesamt CHF 20’000.- an die ethischen Hacker ausbezahlt. Fünf dieser Sicherheitslücken waren hoch-kritisch (critical) und hätten es erlaubt einen der getesteten Shop- und Serversysteme komplett zu übernehmen, sowie auch Kundendaten zu stehlen.

Dadurch, dass diese Sicherheitslücken proaktiv im Rahmen von einem Bug Bounty Reality-Check gefunden wurden, konnten diese behoben werden, bevor sie von Cyberkriminellen ausgenutzt wurden.

Damit zeigt sich eindrücklich, dass fast jedes noch so moderne und gut geschützte IT-System gehackt werden kann, wenn die richtigen Leute, mit den richtigen Skills und der richtigen Motivation, zur richtigen Zeit zusammenfinden.

Und genau dieses einzigartige Matchmaking erfolgt bei einem Bug Bounty Programm von Bug Bounty Switzerland auf eindrückliche Weise.

Wir sind stolz auf unsere Fehler

Ein perfektes IT-System ohne Schwachstellen gibt es heute nicht mehr. Viel zu komplex und schnelllebig ist die digitale Welt geworden. Deshalb reichen traditionelle Sicherheitsmassnahmen nicht mehr aus, um sich effektiv vor Cyberattacken zu schützen.

Es gibt eigentlich nur zwei Möglichkeiten wie Sicherheitslücken gefunden werden können, von denen man bis anhin noch nichts weiss:

1. Entweder durch kriminelle Hacker im Rahmen von bösartigen Cyberattacken – die oft existenzbedrohend sind.
2. Oder proaktiv, durch die Zusammenarbeit mit ethischen Hackern – ohne dass dabei ein Schaden entsteht.

Dazu braucht es aber einen offenen Mindset und das Verständnis, dass jeder Fehler eine Chance ist, um besser zu werden. Genau dieser Kulturwandel, hin zu einer transparenten und konstruktiven Fehlerkultur, ist einer der Schlüssel, damit die digitale Transformation gelingt.

Dabei wird IT-Sicherheit und das Vertrauen der Kunden (Digital Trust) ein immer wichtigerer Wettbewerbsvorteil.

Die beiden Firmen Chiefs und NIKIN machen dies eindrücklich vor und sagen «Wir sind stolz auf unsere Fehler, denn dadurch können wir laufend besser werden!».

«Wir waren sehr überrascht von der technischen Raffinesse der Hacker und was wir daraus lernen konnten»

– Nicolas Hänny, Co-Founder von NIKIN

Cybersecurity ist ein Teamsport

Die heutigen Herausforderungen im Bereich Cybersecurity können heute nur noch gemeinsam bewältigt werden. Dazu braucht es eine neue Art der Zusammenarbeit. Innerhalb von Organisationen aber auch weit über die Organisationsgrenzen hinaus.

Mit diesem Vorzeigeprojekt will Cisco Schweiz auf die Wichtigkeit von modernen Cybersecurity Lösungen hinweisen und die Notwendigkeit von Bug Bounty Programmen aufzeigen.

Dazu hat Cisco Schweiz die Kosten für die Belohnungen der ethischen Hacker übernommen. Bug Bounty Switzerland hat ihren Managed Service sowie ihre Kollaborationsplatform zur Verfügung gestellt.

Ganz gemäss dem Motto «Gemeinsam für eine sichere Schweiz!»

«Wir auf der guten Seite müssen uns ebenfalls aufrüsten. Zusammen mit ethischen Hackern, können wir kritische Sicherheitslücken finden.»

– Roman Stefanov, Cyber Security Sales Lead bei CISCO Schweiz

Und wie sicher sind Deine IT-Systeme?

Zum Reality-Check