OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar

OnePlus heeft een bugbounty-programma geopend. Het bedrijf had de afgelopen tijd meerdere keren te maken met beveiligingsincidenten. Het bedrijf biedt via HackerOne een programma aan waarmee beveiligingsonderzoekers tussen de 50 en 7000 dollar kunnen verdienen.

Het responsible disclosure-programma is te vinden op de website van OnePlus. Het bedrijf werkt voor het programma samen met HackerOne, een bekend platform waar meerdere bedrijven hun rd-programma hebben lopen. Het programma is bedoeld om beveiligingsincidenten 'vroegtijdig op te sporen', zegt OnePlus in een forumpost. Op de website staat een Hall Of Fame waarop de drie belangrijkste onderzoekers van die maand komen te staan.

OnePlus heeft vijf verschillende beloningen, die oplopen naarmate het lek erger wordt. De bedragen lopen van 50 tot 1500 dollar in de eerste vier categorieën. Daarnaast is er een categorie voor 'speciale zaken' waarmee onderzoekers 7000 dollar, of zo'n 6300 euro kunnen verdienen. Wat de precieze eisen zijn om binnen een specifieke categorie te vallen is niet bekend. Ook is niet duidelijk wat een 'speciale zaak' precies is. Het bedrijf heeft een paar regels opgesteld die vrij standaard zijn voor een bug bounty-programma. Onderzoekers mogen niet spammen of een DoS-aanval uitvoeren, en er zijn een paar uitzonderingen waarop geen beloning van toepassing is.

Het bug bounty-programma komt mede naar aanleiding van een aantal beveiligingsproblemen die OnePlus de laatste tijd heeft gehad. Een maand geleden lekten namen, adressen en telefoonnummers van OnePlus-kopers uit, en in 2018 werden er 40.000 creditcardgegevens gestolen van het bedrijf. OnePlus specificeert niet of het bug bounty-programma van toepassing is op zijn website, of alleen zijn telefoons.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-12-2019 17:36
17 • submitter: Anonymoussaurus

20-12-2019 • 17:36

17

Submitter: Anonymoussaurus

Lees meer

HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's
HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's Nieuws van 4 juli 2022
Voor het eerst verdient hacker twee miljoen dollar aan bugbounty's op HackerOne
Voor het eerst verdient hacker twee miljoen dollar aan bugbounty's op HackerOne Nieuws van 24 december 2020
Facebook deelde afgelopen jaar 1,67 miljoen euro uit aan bugbountybeloningen
Facebook deelde afgelopen jaar 1,67 miljoen euro uit aan bugbountybeloningen Nieuws van 20 november 2020
Belgisch platform voor ethische hackers haalt 4 miljoen euro aan kapitaal op
Belgisch platform voor ethische hackers haalt 4 miljoen euro aan kapitaal op Nieuws van 25 juni 2020
Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar
Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar Nieuws van 25 juni 2020
Microsoft start Xbox-bugbountyprogramma met beloningen tot 20.000 dollar
Microsoft start Xbox-bugbountyprogramma met beloningen tot 20.000 dollar Nieuws van 31 januari 2020
OnePlus laat vermoedelijke OnePlus 8 Lite zien
OnePlus laat vermoedelijke OnePlus 8 Lite zien Nieuws van 6 januari 2020
Namen, adressen en telefoonnummers van OnePlus-gebruikers zijn gestolen
Namen, adressen en telefoonnummers van OnePlus-gebruikers zijn gestolen Nieuws van 22 november 2019
OnePlus: creditcardgegevens 40.000 klanten zijn gestolen via betaalpagina
OnePlus: creditcardgegevens 40.000 klanten zijn gestolen via betaalpagina Nieuws van 19 januari 2018
OnePlus-gebruikers ontvangen Google-waarschuwing over 'FactoryMode'-app
OnePlus-gebruikers ontvangen Google-waarschuwing over 'FactoryMode'-app Nieuws van 2 januari 2018
Hacker claimt backdoor te hebben gevonden in software OnePlus
Hacker claimt backdoor te hebben gevonden in software OnePlus Nieuws van 14 november 2017
Meer producten en artikelen
Beveiliging en antivirus OnePlus Bug tracking

Reacties (17)

-Moderatie-faq
17
16
4
3
0
3
Wijzig sortering
Anonymoussaurus
20 december 2019 17:59
Voor degenen die geïnteresseerd zijn: ik heb via Oxygen Updater een uitgebreid nieuwsartikel geschreven over dit onderwerp. Zie hier: https://oxygenupdater.com/api/v2.3/news-content/95/EN

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 17:15]

Zynth 22 december 2019 11:58
ik ben geen fan van al deze bug-bounty programma's.
Het enige wat er gebeurt is dat grote rijke bedrijven nu in staat zijn om nog veiligere software te maken, waardoor de kleineren nog extra veel minder overlevingsmogelijkheden hebben.
Vedette. @Zynth22 december 2019 12:35
Dus we moeten het veiliger maken van software voorkomen om de concurrentiepositie van kleine bedrijven niet aan te tasten?
Zynth @Vedette.22 december 2019 13:16
Is dat wat je dacht dat ik zei? Vreemde conclusie.

Ik heb liever dat er wordt gezocht naar een manier van bugs-vinden-belonen die minder afhankelijk is van het kapitaal van de maker.

[Reactie gewijzigd door Zynth op 23 juli 2024 17:15]

TWeaKLeGeND @Zynth23 december 2019 03:24
Ik vermoed dat de meeste van ons rekeningen te betalen hebben die we niet kunnen voldoen met 'bugsolvingprestige'. Net zoals dat we het eigenlijk heel leuk vinden om de wereld vooruit te helpen met open source software houd het ergens toch echt op met het doneren (van onze tijd en geld) . Zeker als het niet open source/non profit is die we helpen maar gewoon een commerciëel bedrijf waar ik ook gewoon kan solliciteren voor een baan met bijbehorend salaris.

Ik begrijp het sentiment, maargoed als jij nou een programma opzet om een betere bugfindersreward te vinden zijn er vast bedrijven die miljoenen aan rewards willen neertellen voor die top oplossing die zorgt voor gratis arbeiders.

Of vind je dat het andermans kapitaal hoort te zijn dan die van de maker en dienst klanten? Dat gebeurt al hier en daar, grote bedrijven die betalen voor bug rewards in andermans software. (doorgaans open source software die zo dus gesponsord word door grote bedrijven). Subsidies van overheden zodat kleine bedrijven geen belastingen hoeven betalen voor werknemers? Die zijn te druk bezig grotere ontwikkelaars 10x de beoogde begroting te betalen voor de eigen overheid software/projecten.

Je doet het klinken alsof Google Microsoft en apple samen een oligopolie hebben op veilige software trouwens :p ik vermoed dat gemiddeld kwalitatief goede 'kleine ontwikkelaar' niet noemenswaardig minder veilige software maakt en waarschijnlijk zelfs veiligere.

Ik heb het liefst gewoon een veilige telefoon. Het liefst fabrieksaf. Maar als er dan toch een kans bestaat dat er onveiligheden in zit dan vind ik het fijn dat vinders daarvoor betaald krijgen door grote bedrijven ipv door grote criminelen of overheidsdiensten uit op kraken en afluisteren. Een bug in android treft nou eenmaal veel meer mensen dan een bug in 'wij maken software voor tandartsen' bedrijfje (die vanwege de niche wss nog eens een aardige marge heeft)

[Reactie gewijzigd door TWeaKLeGeND op 23 juli 2024 17:15]

Xecuter NL 20 december 2019 19:25
Ik zag dat Huawei ook een bug bounty programma is gestart met Zerocopter.
Joene69 21 december 2019 10:50
Laat ze eerst maar eens punctueler worden met het uitbrengen van security updates en, in mindere mate, Android updates! Mijn OP6 loopt nog steeds op de patch van augustus 2019! Dat gaat helemaal in tegen hun statements dat ze elke 1-2 maand een security update uitbrengen voor minimaal (geloof ik) 2 jaar.
hoi1234 @Joene6921 december 2019 23:29
Je kunt natuurlijk ook de beta-software draaien. Doe dit al sinds ik de telefoon heb (1 jaar, 1 maand nu). Nooit tegen bugs aangelopen.

Afgelopen week de patch voor november binnengekregen.
Looboer @Joene6923 december 2019 08:00
Mijn OP6 loopt op de patch van november 2019. Tot zover komen ze naar mijn mening hun statement gewoon na.
DarkViggo @ATIradeon850021 december 2019 01:25
Ik heb hem al een tijdje binnen via de Oxygen updater app?
Rickpm1 @DarkViggo21 december 2019 09:29
Ik ook :). 10.0.1 draai ik al een tijdje. Soms moet ik een reboot doen omdat ik dan bij alles een "has stopped working" melding krijg.
Joene69 @Rickpm121 december 2019 10:57
Is de update via oxygen een stabiele versie? Ik zie in de uitleg veel meer verbeterpunten staan dan in het originele statement van OP. Of is het een aangepaste versie van het Oxygen team? In het verleden liep Oxygen een paar dagen voor op het origineel, nu krijg ik via OP zelf nog steeds geen update naar 10, terwijl Oxygen deze al ruim 6 weken aanbiedt
DarkViggo @Joene6921 december 2019 11:44
10.3.0 kwam voor mij gisteren binnen en lijkt deze stsbiele versie. Heb daarvoor ook weinig problemen gehad. Succes!
Joene69 @DarkViggo21 december 2019 12:06
Via Oxygen? Iig thxs voor je reactie! ;)
DarkViggo @Joene6921 december 2019 14:17
Via de Oxygen updater app Idd, geen probleem!
Joene69 @DarkViggo21 december 2019 20:43
Thxs!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq