Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

HackerOne, een platform waarop hackers een beloning kunnen krijgen als zij beveiligingsproblemen en bugs melden, heeft via een investeringsronde 25 miljoen dollar, circa 22,3 miljoen euro, opgehaald. Het Amerikaanse bedrijf is mede opgericht door Nederlanders.

HackerOneHet platform is de laatste tijd flink gegroeid en het bedrijf wist in een eerste Amerikaanse investeringsronde 9 miljoen dollar op te halen. Inmiddels is bij een tweede investeringsronde nog eens een flink bedrag opgehaald: in totaal legden investeerders 25 miljoen dollar in.

HackerOne hanteert een model voor het vinden van beveiligingsproblemen dat eerder door grote bedrijven als Google en Microsoft werd gebruikt: zogeheten bug bounty programs, waarbij hackers worden beloond wanneer zij gaten in de beveiliging van software ontdekken en deze netjes melden. De start-up maakt gebruik van duizenden hackers die bugs kunnen melden over publiek toegankelijke sites en breed gebruikte internetsoftware. Bij commerciële software vraagt HackerOne een commissie van 20 procent op het bedrag dat een bedrijf aan een zogeheten whitehat-hacker betaalt voor een bugmelding.

HackerOne, dat drie Nederlandse mede-oprichters kent en nu zijn hoofdkantoor in San Francisco heeft, claimt inmiddels circa 3,2 miljoen dollar te hebben uitbetaald aan circa 1500 hackers. Daarbij zijn bijna tienduizend bugs geplet. Onder andere Yahoo, Twitter, Adobe, Dropbox en Snapchat maken gebruik van de diensten van het twee jaar oude bedrijf. Bij HackerOne werken 13 personen in Nederland en 32 in de Verenigde Staten.

Moderatie-faq Wijzig weergave

Reacties (49)

Klinkt als een mooi model. Gemiddeld ongeveer 3200 euro per bug/lek. Kan dus best de moeite waard zijn, afhankelijk van de hoeveelheid tijd die je er als "hacker" in moet stoppen natuurlijk :).
20% commissie vind ik wel veel.

Als je het direct aan het bedrijf meld, mits zij hun responsible disclosure op orde hebben, krijg je dus 20% meer vergoeding. Het enige dat dit bedrijf dan doet is tussen persoon spelen. ze hanteren hier dan wel een minimum beloning. maar hoe interessant is deze dienst als hacker en voor bedrijven?
Ik heb er zelf nooit mee gewerkt, maar het is altijd wel fijn als er een soort middle-man is die allerlei zaken regelt. Zo is het soms verdomd moeilijk om bepaalde zaken af te bakenen om bijvoorbeeld geen rechtszaak aan je broek te krijgen. Nu ga ik er dus vanuit dat beide partijen een 'overeenkomst' hebben over wat wel/niet kan of mag. Daarbij krijgen bedrijven dus wél genoeg aandacht en de 'hackers' hebben een vorm van zekerheid.
20% is dan wellicht redelijk te noemen.
Ik denk dat het op die manier ook handiger is om bugs aan te melden. Omdat zo'n groot platform het kan regelen dat ze contacten hebben direct naar de juiste mensen binnen een fabrikant toe. Via een callcenter kom je daar niet zomaar.

Bel maar eens een bedrijf op, grote kans dat je iemand aan de lijn krijgt die helemaal niets van bugs snapt en ook niet weet waar hij dat naartoe door moet zetten. Waardoor er niets mee gebeurt. Met een puur software bedrijf kom je er wel maar denk aan bijv. een fabrikant van hardware met embedded linux (bijv. routers, IP camera's), denk dat je daar heel veel moeite moet doen om met de juiste mensen te spreken.

[Reactie gewijzigd door GekkePrutser op 24 juni 2015 17:20]

De hackers doen mee vanuit de hele wereld. Een van de lastige problemen is het daadwerkelijk uitbetalen van de bounties. Klinkt suf, maar bedenk maar eens hoeveel verschillende netwerken van banken er bestaan. Vooral als je geld moet over maken naar een achtergesteld derdewereld land, dat kan nog wel eens lastig zijn. Of je betaalt vies dure premies aan banken. Daarom geeft Hackerone 5 procent bonus wanneer je de bounty laat uitbetalen in Bitcoin.

http://www.newsbtc.com/2014/10/21/hackerone-bitcoin-payouts/

[Reactie gewijzigd door fandango op 24 juni 2015 23:43]

"maar hoe interessant is deze dienst als hacker en voor bedrijven? "
Blijkbaar heel interessant
"Onder andere Yahoo, Twitter, Adobe, Dropbox en Snapchat maken gebruik van de diensten van het twee jaar oude bedrijf "

Lijkt me alleen beetje fraude gevoel om een bedrijf te hebben met hackers.
Nulletje verschil: 3.2 mil / 10.000 bugs = 320 euro per bug/lek. Dat vind ik dan eigenlijk weer vrij karig.
3,2 miljoen dollar te hebben uitbetaald aan circa 1500 hackers. Daarbij zijn bijna tienduizend bugs geplet

3.200.000$
1500 hackers
10.000 bugs

3.200.000$ : 10.000 = 320$ per bug
1500 hackers x 320 per bug = 480.000$
3.200.000$ : 480.000$ = 6,666666666666667
Dus 1500 hackers vinden ongeveer elk 6 bugs en krijgen elk 480.000$ daarvoor
Elk $480.000; geloof je 't zelf? Logisch inschatten is niet je sterkste kant ;). Ff opnieuw rekenen, en je komt op gemiddeld $2133,33 uit per beveiligingsonderzoeker. Oftewel, het vak wordt (financieel gezien) zwáár ondergewaardeerd.
Nou, is toch mooi meegenomen, beter dan niks.
En het staat goed op je CV, als je een certificaat-achtig iets van HackerOne krijgt.
Nee het is gewoon alsnog karig. Dat er andere redenen zijn om het alsnog daar te zijn ('werken'), is dan prima echter zou de beloning gewoon marktconform moeten zijn en niet een simpele 'hier is een ballon bedankt voor je inzet'- vergoeding.
0days en overige 'leuke' bugs leveren op de zwarte markt soms een honderdvoud op.

[Reactie gewijzigd door Douweegbertje op 24 juni 2015 18:15]

Ja leuk, een open deur in trappen. Ik hoopte eigenlijk dat iedereen snapte waar ik op doelde. Indien je de rewards niet fatsoenlijk maakt is het soms een veel makkelijkere keuze om het te 'abusen'. Sterker nog, voor 300 euro (voor het dus niet melden) zou je aardig wat "lol" kunnen beleven met bepaalde bugs. Het is maar net waar iemand net zin in heeft.
Kijk naar dropbox: https://hackerone.com/dropbox
Dit zijn gewoon hele matige prijzen gezien het type werk.

Als je het ook andersom gaat kijken heeft een bedrijf een dikke community die technisch gezien allemaal voor hun aan het 'werk' zijn. Als je dan uiteindelijk 216$ uitbetaald voor iets.. tja dan vind ik het enorm matig.
even verder lezen dan ;) Dat is de minimumbeloning.

Dropbox rewarded onemore with a $1,331 bounty.
Dropbox rewarded omairmo with a $4,913 bounty. 2 months ago
Dropbox rewarded paresh_v1n1 with a $729 bounty. 2 months ago
Dropbox rewarded daksh with a $729 bounty for Privilege Escalation at invite feature @hackpad.com. 2 months ago
Dropbox rewarded thomas_guittonneau with a $729 bounty. 2 months ago
Dropbox rewarded beist with a $3,375 bounty. 2 months ago
Dropbox rewarded batram with a $4,913 bounty. 2 months ago

uit jouw voorbeeld, dus de prijzen kunnen best wel erg lonend worden.

[Reactie gewijzigd door polthemol op 24 juni 2015 18:42]

Dat zijn nog steeds matige prijzen voor dit specialistische werk.
Geen wonder dat zoveel specialisten 't verkeerde pad kiezen en black hat worden.
depends hoe moeilijk die bugs waren om te vinden lijkt me. Stel ik heb er ene binnen het half uur gevonden en voldoende gedocumenteerd doorgestuurd, lijkt me easy money.

Zolang je niet weet hoeveel moeite er gedaan is om die bug die 5000 dollar waard is te vinden en hoe ernstig die was, is het moeilijk oordelen of het een competitief salaris is, dat was meer mijn punt :)

Daarbij: als je blackhat gaat louter vanwege het geld wat je niet krijgt, dan is er iets mis met je ethische visie. Dat fix je niet door wat extra geld er tegenaan te smijten.
Sorry hoor maar dergelijke pagina's met een "cosmische" layout kan ik altijd moeilijk serieus nemen.

Goed iniatief, zij die meer geld willen verdienen door het via het bedrijf direct te spelen kunnen dit natuurlijk altijd nog doen.
@SamTex:
Als je bedrijven hacked, voor eigen gewin (dus niet uit veiligheidsonderzoek) of je past zomaar zaken aan, dan ben je black-hat. Simpel.
hoe moet Ik dat zien
...zo dus.

[Reactie gewijzigd door kimborntobewild op 26 juni 2015 22:49]

De doelgroep is whitehat hackers, die 'abusen' niet voor de lol O-) O-) O-) ...
Je wordt in feite een whitehat door mee te doen aan zoiets ipv het op een andere manier te gebruiken (of beter gezegd misbruiken). Die grens is af en toe zeer klein. Ik reageer overigens inhoudelijk maar op meerdere reacties en niet alleen die van jou, dus voel je niet perse aangesproken maar...:
Ik snap dat er een vorm van etniciteit in zit waardoor je dingen wel of niet doet en het is heel goed dat er dan een veilig (zo zie ik het) platform is waarbij de grens vrij klein is geworden om daadwerkelijk aan de slag te gaan met een bekend product zonder dat je direct in de problemen komt en waarbij je ook nog eens goede feedback krijgt. Daarbij wordt het probleem ook nog eens fatsoenlijk opgepakt.. iets wat vaak niet gebeurt.

Je moet alleen ook deels realistisch blijven dat het ook 'werk - werk' is. Prima, een leek kan zelfs nog een bug vinden, maar het meeste wat ik zie zijn toch echt mensen met gedegen kwaliteiten die niet zomaar iets hebben gevonden. Je kunt dan wel een cadeau geven in de vorm van een miniem bedrag maar we hebben het net over dat ethische aspect ervan... Moet het dan maar één kant op gaan?

Als ik naar mij zelf kijk dan doe ik af en toe gratis wat 'pen-testen' voor mensen en bedrijven. Puur vanwege mijn eigen plezier en de mogelijkheid die ik dan krijg. Aan de andere kant vraag ik soms ook gewoon een redelijk uurloon en dan redt je het echt niet met 300$ of zelfs boven de 3k.. Dit soort bedrijven zijn huge, net als hun applicaties. Indien ze een professioneel bedrijf willen inhuren met alle contracten en legale aspecten daaromheen ben je misschien wel 100k verder. Doe dan enkele specialisten niet af met 300$ of een simpel voorbeeld; dropbox die 760$ gaf aan iemand die op elk account kon inloggen op een 'speciale' pagina (dus niet dropbox zelf).
Een blackhat doet dat toch ook niet? Het lijkt nu wel alsof beide partijen worden gemotiveerd door geld in plaats van morele normen en waarden.
Jouw referentiekader is blijkbaar de zwarte markt, als je je gewoon netjes aan de regels wilt houden valt die optie af en moet je kijken naar wat je legaal kan krijgen. Prima dat je het dan nog te laag vind, maar kom niet steeds aan met die vergelijking van "op de zwarte markt kan ik er 100x voor krijgen."
Jammer dat niet iedereen mijn comment hierboven dan ook begrijpt...
Niet alle bedrijven betalen de hackers wanneer zij iets vinden. Het gemiddelde van de betalende bedrijven ligt in ieder geval hoger dan 320 dollar.
HackerOne, dat drie Nederlandse mede-oprichters kent en nu zijn hoofdkantoor in San Francisco heeft, claimt inmiddels circa 3,2 miljoen dollar te hebben uitbetaald aan circa 1500 hackers. Daarbij zijn bijna tienduizend bugs geplet.
3.200.000 / 10.000 = 320 (dus niet 3200)
Dit is natuurlijk wel een gemiddelde; veel zullen eronder zitten, een paar (mogelijk ver) erboven.
Goed punt maar neemt niet weg dat een aantal bugs verzameld kunnen zijn, en dus overeenkomstig gedrag vertonen, en door 1 patch worden opgelost.

Als voorbeeld Heartbleed-issues; de oorzaak lag ver in het verleden en door alle gratis/betaalde forks sindsdien, had ongeveer de hele wereld er last van.

Wel zuur als "ontdekker" dat je dan maar 320¤ gemiddeld zou krijgen voor zoiets cruciaals; aan de andere kant zijn veel whitehats niet allemaal commercieel ingesteld.
Ik ken hun exacte regels niet (en kan die zo snel ook niet vinden), maar het lijkt erop alsof ze het bedrijf waaraan de bug gemeld wordt zelf laten kiezen hoeveel de beloning bedraagt.

Maar goed, of ze het nu zelf bepalen of uitbesteden, in feite zijn er twee modellen om uit te kiezen: flat fee (zelfde bedrag voor elke bug; lijkt me onlogisch) of gebaseerd op ernst en/of impact van de bug die je meldt (met als nadeel dat er altijd enige discussie mogelijk is). Uitgaande van het tweede model zou het melden van HeartBleed vermoedelijk (aanzienlijk) meer dan 320 dollar opgeleverd hebben.
Hoeveel mensen zouden er bugs in hun eigen software ofdie van de baas stoppen en ze er hier uithalen. Weet iemand of daar een vangnet voor is?
"Onder andere Yahoo, Twitter, Adobe, Dropbox en Snapchat maken gebruik van de diensten van het twee jaar oude bedrijf."

Lijkt me dus een aantal grote namen, als hier een programmeur bewust bugs in de bedrijfssoftware zal programmeren om deze er 'voor geld weer uit te halen' zou dat toch snel worden opgemerkt lijkt me?

Al met al een goed initiatief, Black Hat hackers willen er vaak ook wat uithalen (persoonlijk gewin), Grey Hat hackers volgens mij gewoon puur voor de 'eer', mooi dat er dan voor de witte hoedjes ook wat tegenover staat in plaats van een 'dankjewel, ga nu maar weer verder met je codes'.
Bovendien gaat het hier om zulke relatief lage bedragen dat een respectabele programmeur dit niet zou doen. Bovendien zijn er met source code control ook bugs te herleiden naar de maker. Dus je zou jezelf er vooral een slechte naam mee geven. En dan heb ik het niet eens over peer reviewing van software.
Ja dat is er, het heet testen. En om dat te doen zijn allerlei gestructeerde methodes bedacht, zoals ISTQB of tmap.
Testen slaagt er niet in om alle (per ongeluk) geďntroduceerde bugs eruit te vissen, dus ik denk niet dat opzettelijk geďntroduceerde bugs altijd gevonden worden.

Maar goed, zodra een bug gemeld is, dan wordt ie opgelost en dan weet je dus waar het probleem precies zat. Misschien (ook zonder vermoeden van misbruik) helemaal geen slecht idee om voor al deze bugs even aan je version control te vragen wie die regel gecommit heeft. Als hier vaak dezelfde naam langs komt dan moet je sowieso misschien eens met die persoon gaan praten; ook als de oorzaak "slechts" slordigheid of een gebrek aan kennis is (in plaats van opzet).

[Reactie gewijzigd door robvanwijk op 24 juni 2015 16:19]

super initiatief, als alle uitbetaalde hackers dalijk maar geen proces-verbaal aan hun broek krijgen zoals we eerder in nederland hebben gezien met een bepaald ziekenhuis..
Het was wel vrij duidelijk dat die 'whitehat hacker' heel andere dingen aan het doen was dan een beveiligingslek aankaarten.
Als je ergens inbreekt, persoonlijke informatie jat en dan malware op de servers installeert kan je jezelf al lang geen whitehat meer noemen maar ben je gewoon een crimineel, dat je dan aangeklaagd wordt mag geen verrassing zijn...
volgens mij had hij toch juist door middel van malware informatie gejat en dat aangegeven bij het ziekenhuis?.. maar hoe wil je jezelf tegen een echte blackhat beschermen dan als je geen blackhat praktijken mag uitoefenen? Ga jij braaf blind de provider van je virusscanner vertrouwen op hun updates?

[Reactie gewijzigd door Eelco.L. op 24 juni 2015 17:54]

Je kan prima laten zien dat je een systeem binnen komt zonder nadat je binnen bent malware te installeren en persoonlijke informatie te jatten.
Als je het thuis hoe dan ook moet weten of je misbruik van kan maken kan je heel misschien 1 poging wel verantwoorden, zeker als je je eigen gegevens ophaalt, maar een hele database downloaden en op je computer bewaren heeft niks met testen te maken ;)
Verder heeft het natuurlijk weinig nut je tegen blackhats te beschermen door blackhats op je systeem los te laten gaan, in plaats daarvan zal je whitehats erop moeten los laten, met een duidelijke overeenkomst wat onder 'testen' valt en wat niet.
Beveiliging is nou eenmaal een kat en muis 'spel', dat is het altijd al geweest en zal het altijd ook blijven.
Ik vind het echt goed idee... maar wat als geld op is? Vragen ze opnieuw een nieuwe investering van Microsoft, Adobe en zo?
Ik weet dat de grote software bedrijven vaak geen tijd om bugs zelf te vinden en ook uitgebreid testen, anders hadden we geen bugs gezien, nietwaar?
Ik verwacht niet dat het geld dat ze hebben opgehaald gebruikt wordt om de hackers te betalen. Dat zal verder gebruikt worden voor de ontwikkeling van het platform en het uitbreiden van het concept.

Goed platform lijkt me! Kun je er in de wilde weg bug's melden? Of vragen bedrijven om de software te testen en kun je dan pas een bug melden? Anders meld je een bug en kan het zijn dat het bedrijf helemaal geen zin heeft om je daarvoor te betalen.
Je denkt toch niet dat het geld dat wordt uitbetaald uit het investeringsgeld komt? Dit is geen goed doel.

Van het bedrag dat het bedrijf uitbetaalt aan hackers, kun je er gerust vanuit gaan dat zij het dubbele betaald krijgen van hun klanten.
@Relief2009: Mooi verzonnen, maar nergens op gebaseerd.

Ik denk dat het eenvoudig aan elkaar te koppelen is. De uitbetalingen hoger maken bij bugs die gevonden worden bij bedrijven die meer investeren/betalen. Op die manier krijgt het bedrijf dat het meest investeert, de meeste aandacht.
Of dit een beter/goedkoper alternatief is dan meer eigen personeel op White hat hacking zetten of het opduiken van bugs in het wild accepteren, is dan een afweging dat elk bedrijf kan maken.
Wat snap jij niet aan 20% commissie? Softwarebedrijf X heeft een bug, hacker Y vindt die. Y meldt het aan HackerOne. HackerOne krijg hiervoor ¤1 en betaalt Y ¤0.80.

1/0.80 = 1.25 != 2, dus je claim dat HackerOne dubbel zoveel krijgt als uitkeert is idioot.
Dit platform is net als exploit-db, maar nu krijg je betaald voor het melden :)
Je zou hier zelfs een baan aan kunnen overhouden.

[Reactie gewijzigd door SinisterGlitch op 24 juni 2015 16:06]

Wat gaan ze eigenlijk doen met die 25 miljoen?
Ik neem aan geen "hackers" betalen want dat moeten de bedrijven doen die de bugs gemeld krijgen, zou je de 25 miljoen daar aanbesteden is er geen rendement voor de investeerders en had je geen 25 miljoen van hen gekregen.
Geld verdienen met het melden van bugs......
Zit er nog een limiet aan het aantal tickets, of doet Siemens hier niet aan mee? :+
Goed initiatief. Uit ervaring weet ik dat veel bedrijven die zelf een responsible disclosure beleid hebben geďmplementeerd deze vaak zelf niet nakomen. Wellicht werkt het melden van bugs via HackerOne beter vanwege de tussenpersoon die er tussen zit. En natuurlijk super dat dit een Nederlandse start-up is!
Wauw. Ooit was een van de oprichters van HackersOne een stagiair bij het bedrijf waar ik toen werkte. Zeer ijverig en pienter mannetje. Heeft het mooi ver geschopt!
dat was wel erg makkelijk voor de NSA ze hoeven gewoon hackersone te hacken en hebben zero-day exploits in overvloed..

maar 20% commissie vind ik nog erg veel :S:S..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True