Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Twitter heeft in de twee jaar dat het zijn Bug Bounty-programma heeft lopen rond de 300.000 euro uitbetaald aan ontwikkelaars die beveiligingsproblemen meldden. Een ontwikkelaar slaagde erin om meer dan 10.000 euro uitbetaald te krijgen voor een gemelde bug.

twitterOp zijn blog zet Twitter uiteen hoe het zogenaamde Bug Bounty-programma in zijn eerste twee jaar is verlopen. Volgens de sociale-netwerksite zijn er sinds mei 2014 meer dan 5000 bugs gemeld door 1662 beveiligingsonderzoekers. Een van deze personen was vorig jaar behoorlijk succesvol; hij slaagde erin om 54.000 dollar uitgekeerd te krijgen, omgerekend ongeveer 49.000 euro. Het gemiddelde bedrag dat Twitter uitkeerde bij het rapporteren van een bug was slechts 835 dollar.

Twitter ziet het bedrag dat het aan ontwikkelaars uitkeert snel stijgen; in het afgelopen kwartaal werd er in totaal 80.000 dollar uitgekeerd, terwijl dat een jaar eerder ongeveer de helft was. Volgens de sociale-netwerksite loopt de stijging in de uitkeringen parallel met het stijgende aantal kwetsbaarheden dat er wordt gevonden. Verder looft het bedrijf een bedrag uit van minimaal 15.000 dollar voor kwetsbaarheden waarbij het uitvoeren van code op afstand mogelijk is, maar een dergelijke bug heeft nog niemand gemeld.

Veel grote techbedrijven hebben dergelijke programma's voor beveiligingsonderzoekers. Onder andere Google en Facebook geven grote bedragen uit aan mensen die kwetsbaarheden melden.

Moderatie-faq Wijzig weergave

Reacties (36)

Nog leuk om te melden is dat veel van deze bounty's uitgekeerd zijn via het HackerOne platform, dat van Nederlandse bodem is (succesvolle startup uit Groningen). Veel grote bedrijen zijn hier bij aangesloten. Ze hebben laatst nog een investering van +/- 20 miljoen dollar binnengesleept en zitten ook in San Francisco :)
Maar zijn dit dan allebaal bugs in het kader van beveiligings risico's? Want dan hebben ze behoorlijk veel en vrij grote bugs.
Die 10k bugs zijn groot de rest zullen wat minder belangrijke zijn.
Volgens mij is dit nog steeds goedkoop als je ziet wat de bugs (afhankelijk van de bug) voor schade zouden kunnen berokkenen en wat een security autit los zou kosten. Tof dus voor beide partijen om op zo'n manier geld te (be)sparen!

[Reactie gewijzigd door Evanescent op 28 mei 2016 12:13]

Het een gaat hopelijk wel samen met het ander.

Ten eerste heb je (hopelijk) je eigen afdeling die tracht zoveel mogelijk de software te testen.

Ten tweede de audits van buiten, alleen praktijk leert toch dat dat echt niet altijd het neusje van de zalm is. Klinkt misschien hard, maar die krijgen niet altijd toegang tot alle gegevens en daarnaast zit er ook tijdsdruk waardoor niet alles grondig gecontroleerd kan worden. Daar is meer sprake van een lijstje waar wordt weggevinkt ipv dat iemand echt de systemen grondig gaat doorlichten.

Als laatste moet je als bedrijf met een flink ICT-netwerk aangesloten op het internet een fatsoenlijk bounty-programma hebben. En dat gaat je ook een leuk bedrag kosten, maar onder de streep is het rendement daarbij veel hoger. Je betaalt alleen als er iets mis is. Iemand extra in dienst nemen heeft weinig zin, die kost je al gauw minimaal ¤75.000,- op jaarbasis terwijl die op een gegeven moment ook niet meer door de bomen te bos niet meer ziet en je kunt niet zoveel specialisatie in een persoon stoppen.


Een fatsoenlijk budget om te voorkomen dat je wordt gekraakt lijkt me cruciaal. Ik zou er zelfs voor willen pleiten dat overheden en bedrijven met een bepaalde omzet bijvoorbeeld 1% reserveren voor dergelijke programma's.
En dat klinkt gek, maar bij dergelijke bedrijven zie je maar al te vaak dezelfde ICT-kolossen terugkomen die niet altijd even efficiënt en veilig werken. Dat terwijl we al decennia een zogeheten verplichtte EU-aanbestedingsprocedure hebben als een opdracht een minimale omvang heeft.
Dat terwijl we al decennia een zogeheten verplichtte EU-aanbestedingsprocedure hebben als een opdracht een minimale omvang heeft.
Dat is niet 'terwijl', dat is 'doordat'.

Die aanbestedingen worden geschreven om op diezelfde bedrijven uit te kunnen komen. Er worden omzetcijfers ge-eist op 'NV niveau' wat het MKB uitsluit, zelfs het grotere MKB dat veel klussen prima zou kunnen. Er worden garanties gevraagd gebaseerd op wat de gewenste partij kan leveren, in plaats van op wat nodig is, en uiteindelijk blijven er dan een paar partijen over. Deze partijen kennen elkaar en komen regelmatig bij elkaar op de koffie, en vaak ook bij de opdrachtgever, en op deze manier worden feitelijk de aanbestedingen 'geregeld'. Of als de opdrachtgever vergeten is de aanbesteding correct 'dicht te schrijven', heb je al helemaal een buitenkansje. Gewoon inschrijven onder kostprijs, en hetgeen dat is vergeten aan te besteden kan je dan tegen royaal uurtarief alsnog uitvoeren als 'meerwerk'.

De Europese aanbestedingen zijn bedacht met het idee om het onderhandse gunnen onder 'vriendjes' tegen te gaan, daar helpt het amper tegen, en tegelijkertijd word het moeilijker om slechte partijen uit te sluiten. Als je maar een mooi verhaal kunt schrijven zit je zo weer aan tafel.
Je spreekt jezelf wel een beetje tegen. De eu regels laten het dus toe, dat ambtenaren een gewenst bedrijf de aanbesteding geven maar tegelijkertijd kunnen de slechten bedrijven wel makkelijk in aanmerking komen voor een dichtgetimmerde aanbesteding? Hoe kan dat dan?
Dat is dan weer juist doordat "het gewenst bedrijf" en "een slecht bedrijf" eigenlijk één en dezelfde zijn. Dit soort grote aanbestedingen zijn eigenlijk heel simpel: je wilt iets gedaan hebben, bedrijven schrijven erop in, en wie de laagste prijs biedt voor het werk dat gedaan moet worden, die krijgt het. Dat betekent dus al meteen dat je met een offshore team moet gaan werken. Hierdoor valt de kleine MKB eigenlijk al meteen af, omdat die niet het volume heeft om een offshore team aan de gang te houden (vergeet niet dat offshore een verloop van 6 maanden normaal is, dus voor een nieuw project trekt men daar bijna letterlijk een "blik" nieuwe mensen open). Daarbij komt ook nog eens dat overheden en enterprises garanties eisen aan hun leverancies die eigenlijk totaal overbodig zijn (denk aan miljoenenboetes wanneer bepaalde zaken niet geleverd worden, of SLA's niet gehaald worden), ook weer iets waarbij de kleinere bedrijven niet aan kunnen voldoen.

Deze zaken samengeteld zorgen ervoor dat alleen de grote multinationals kunnen leveren, met alle overhead en grote kosten van dien. Op papier lijkt alles goedkoper (omwille van lage uurtarieven van offshore medewerkers), maar in realiteit zit je met een overhead-factor van meer dan 66% (de onshore mensen zoals sales en projectmanagement die eigenlijk geen nuttig werk verrichten, maar waar zonder er helemaal niks zou gebeuren) waardoor je eigenlijk twee derde van het geld uit het raam gooit. Resultaat: een ondermaats product, dat uiteindelijk veel meer kost dan origineel geraamd, omdat het toch weer iedere keer lukt om basisfunctionaliteit te verkopen als meerwerk, wat makkelijk aan 150-200% van de prijs wordt verkocht.

En zo lukt het steeds om de innoverende MKB buiten te houden, werk naar derdewereldlanden te verschepen, en de eindklant (in het geval van enterprise) of de burger (in het geval van overheid) steeds verder de afgrond in te duwen.
Zembla heeft een tijd geleden de fantastische aflevering 'De Spaghetticode' gemaakt over depraktijken van de grote IT bedrijven. Zeer de moeite waard als je wilt weten hoe dat hele offshore gebeuren in zijn werk gaat.
Het MKB kun weer een voet tussen de deur krijgen als je een bepaald budget reserveert voor oa bugs.

In de regel zijn diegene die een fout melden goed genoeg onderlegd om niet alleen een fout te achterhalen maar ook om een oplossing aan te dragen en/of implementeren.

En dat die meer invloed moeten krijgen binnen grotere bedrijven ben ik sowieso voor. Klinkt cliché, maar de kans dat je het MKB iemand tegenkomt die zonder protocollen werkt is groter dan bij een grootbedrijf. En die inzichten heb je ook nodig.

Vanuit alle kanten wordt je tegenwoordig alsmaar doodgegooid met 'start-ups', maar ze moeten ook bestaansrecht hebben zonder dat die een multi-national worden. En ik pleit niet voor wetgeving, maar eerder een code of conduct bij overheid en grotere bedrijven. Bij overbieden zie je regelmatig meldingen dat een ICT-project faliekant mislukt,
alleen gebeurt het regelmatig ook bij bedrijven alleen wordt dat zoveel mogelijk binnenshuis gehouden.
Vaak is het zo dat er eisen geformuleerd waaraan maar één bedrijf kan voldoen, maar dat een ander "slecht" bedrijf, het zegt ook te kunnen. Uiteindelijk is het papierwerk zo'n aanbesteding. Dus op papier kan je makkelijk zeggen dat je iets kan. Overigens is het ook wel nodig om naar een bepaalde specifieke eisen toe te schrijven. Anders loop je bijvoorbeeld het risico om de drie jaar van OS, database, e-mailservers en office pakketten te wisselen, omdat dat dan toevallig de goedkoopste oplossing blijkt te zijn.
Je hebt gelijk. EU aanbestedingen zouden meer transparantie moeten geven en dat meer bedrijven kunnen inschrijven maar het tegendeel is waar.
Immers:
  • de meeste EU aanbestedingen bij de (overheid) worden meestal begeleid door een extern bureau. Er zijn maar enkele bureaus die dit doen en zijn vaak gelieerd aan de grote ICT bedrijven.
  • het opstellen en beoordeling van de vragen zijn volkomen NIET transparant. De vragen en condities worden zodanig gunstig opgesteld voor het bedrijf dat zij graag willen laten winnen. Niemand kan de beoordeling en dus de puntentelling controleren.
  • De eisen zijn per definitie ongunstig en heel vaak disproportioneel voor een MKB bedrijf.
  • In de formule die vaak wordt gebruikt voor de economisch meest voordelige aanbieding wordt JUIST de prijs minder belangrijk gemaakt en worden de scores op de antwoorden veel hoger berekend. Zelf als een prijs wordt aangeboden die het laagste is, omdat bijv. een MKB bedrijf minder overhead heeft zal het weinig uitmaken in de eindbeoordeling omdat met de overige niet verifieerbare scores makkelijk te manipuleren zijn.
  • De eindgebruikers hebben geen enkele stem of worden indringend geadviseerd en gemasseerd naar de "juiste" gewenst bedrijf.
EU aanbestedingen zijn een farce, corrupt en bevoordelen alleen de GROTE gevestigde bedrijven en kosten aan overhead vaak nog meer dan het aanbestedingsbedrag zelf.
Een software developer bij twitter verdient ongeveer $120k. Ze keren dus zegmaar 2,5 FTE uit. Een lachertje.
minstens 120k, 250k is ook niet ongewoon. Waarom denk je dat de huizenprijzen in San Fransisco ongewoon hoog zijn, zodat "de normale mens" er niet meer kan wonen? Juist, door de "nerds". Die verdienen in verhouding zo veel daar...
http://www.businessinside...eks-2016-4?r=US&IR=T&IR=T
De grap is dat het om starter salarissen gaat ;)
49.000 euro! Dan kan je met dit werk mooi een eigen levensbestaan van maken. :)
Er zijn mensen en bedrijfjes die dit dan ook doen :)

En laten we wel zijn, het is nodig. Als een FBI bijna een miljoen neerlegt voor een zero-day exploit voor een iPhone hack (een iets andere situatie natuurlijk, maar het gaat om het idee) - kwetsbaarheden zijn geld waard. Het is belangrijk dat de problemen terecht komen bij de mensen die het kunnen oplossen, niet bij de mensen die er misbruik van willen maken.
En daarmee benoem je dan ook het probleem; deze bug bounty programma's keren te laag uit als bedrijven überhaupt al een dergelijk programma hebben. Het is veel lucratiever om gevonden bugs te verkopen via makelaars aan partijen d ie van zero days misbruik maken.
Verder looft het bedrijf een bedrag uit van minimaal 15.000 dollar voor kwetsbaarheden waarbij het uitvoeren van code op afstand mogelijk is, maar een dergelijke bug heeft nog niemand gemeld.
Misschien zijn ze daarom ook nooit gemeld, je kan elders veel meer geld vangen voor een bug om code op afstand uit te voeren.
Het is veel lucratiever om gevonden bugs te verkopen via makelaars aan partijen d ie van zero days misbruik maken.
Tja, crimineel worden of meewerken aan immorele of criminele activiteiten is misschien ook wel lucratiever dan een legale baan aannemen... er is meer dan alleen geld, de meeste mensen hebben gelukkig ook nog morele waarden.

[Reactie gewijzigd door jj71 op 28 mei 2016 16:39]

Gelukkig hebben de meeste mensen geen criminele intenties, want anders zou onze maatschappij in elkaar storten.

Een interessant artikel http://www.skeptic.com/reading_room/cons/

TL;DR "For the most part, humans have evolved as cooperative animals. We can trust one another, rely on one another, walk around with a wallet full of cash not worrying that every single stranger will rob us and go to bed with the certainty that we won't be killed in our sleep."
Ligt eraan. Stel dat hij er dat jaar fulltime mee bezig was krijgt hij dus ruim 2000 per maand.
Prima natuurlijk maar dan moet ie wel zo door blijven gaan
En is het wel belastingvrij?
Evengoed een leuk betaalde hobby!
Betwijfel het, zal afhankelijk zijn van waar je woont maar hier in Nederland word er belasting over geheven.
Des ondanks leuk bedrag
Hangt er vanaf waar je zit he? Als je in Polen woont, of een adres daar hebt inclusief bankrekening, tja... :)

Edit: valt dit bedrag overigens niet onder prestatiebonus oid?

[Reactie gewijzigd door SkyStreaker op 28 mei 2016 13:19]

Als het van Twitter Ierland komt en je hebt een bedrijf, dan wel. Dan hebben zij de belasting al afgedragen. Moet je alleen een factuur sturen. Doe ik met Adsense. Moet uiteraard wel loonbelasting betaald worden.
Belastingvrij geloof je het zelf?
Als je bijv een label hebt en goede muziek released kan je dat in een maand/week verdienen
49.000 is nix op die 100en miljoenen die ze verdienen.

Hetzelfde als dat je iemand inhuurt uit (IT prof) Bangladesh voor 3 euro per uur. lach jeje ook dood!

Daarnaast kom je ook nog eens veel ''in the picture'' met de reclame van mensen geld geven ... De beste strategie ! Dat Twitter heeft het zo mooi makkelijk

[Reactie gewijzigd door A87 op 28 mei 2016 13:31]

Moet je wel tegen de onzekerheid kunnen. Immers, dan zijn inkomsten verre van gegarandeerd ;)
Gaat het om bugs of beveiligingslekken, aangezien het door beveiligingsonderzoekers wordt gemeld?
Verder valt dit bedrag toch wel mee, vergelijkbaar met wat Facebook of Google bijvoorbeeld bieden?
Laatst bijvoorbeeld een jongen van 10(!) Die beveiligingslekken in Instagram had gevonden en daar rijkelijk voor werd beloond.
In deze context is een bug eigenlijk gelijk aan een beveiligingslek. Een bug kan ook diverse andere problemen veroorzaken, maar daar is Twitter niet perse naar op zoek met dit programma.
Hoog nodig ook, als ik elke week een nieuwe wachtwoord moet aanmaken en niet mobiel kan inloggen. Kwam er achter dat ik zomaar 500 willekeurige mensen aan het volgen was buiten mij weten om.
Klinkt meer als phishing, simpel raadbaar wachtwoord of een malafiede twitter client to be honest dan een grote bug binnen Twitter?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True