Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar

OnePlus heeft een bugbounty-programma geopend. Het bedrijf had de afgelopen tijd meerdere keren te maken met beveiligingsincidenten. Het bedrijf biedt via HackerOne een programma aan waarmee beveiligingsonderzoekers tussen de 50 en 7000 dollar kunnen verdienen.

Het responsible disclosure-programma is te vinden op de website van OnePlus. Het bedrijf werkt voor het programma samen met HackerOne, een bekend platform waar meerdere bedrijven hun rd-programma hebben lopen. Het programma is bedoeld om beveiligingsincidenten 'vroegtijdig op te sporen', zegt OnePlus in een forumpost. Op de website staat een Hall Of Fame waarop de drie belangrijkste onderzoekers van die maand komen te staan.

OnePlus heeft vijf verschillende beloningen, die oplopen naarmate het lek erger wordt. De bedragen lopen van 50 tot 1500 dollar in de eerste vier categorieën. Daarnaast is er een categorie voor 'speciale zaken' waarmee onderzoekers 7000 dollar, of zo'n 6300 euro kunnen verdienen. Wat de precieze eisen zijn om binnen een specifieke categorie te vallen is niet bekend. Ook is niet duidelijk wat een 'speciale zaak' precies is. Het bedrijf heeft een paar regels opgesteld die vrij standaard zijn voor een bug bounty-programma. Onderzoekers mogen niet spammen of een DoS-aanval uitvoeren, en er zijn een paar uitzonderingen waarop geen beloning van toepassing is.

Het bug bounty-programma komt mede naar aanleiding van een aantal beveiligingsproblemen die OnePlus de laatste tijd heeft gehad. Een maand geleden lekten namen, adressen en telefoonnummers van OnePlus-kopers uit, en in 2018 werden er 40.000 creditcardgegevens gestolen van het bedrijf. OnePlus specificeert niet of het bug bounty-programma van toepassing is op zijn website, of alleen zijn telefoons.

Door Tijs Hofmans

Redacteur privacy & security

20-12-2019 • 17:36

17 Linkedin

Submitter: AnonymousWP

Reacties (17)

Wijzig sortering
Voor degenen die geïnteresseerd zijn: ik heb via Oxygen Updater een uitgebreid nieuwsartikel geschreven over dit onderwerp. Zie hier: https://oxygenupdater.com/api/v2.3/news-content/95/EN

[Reactie gewijzigd door AnonymousWP op 20 december 2019 18:26]

ik ben geen fan van al deze bug-bounty programma's.
Het enige wat er gebeurt is dat grote rijke bedrijven nu in staat zijn om nog veiligere software te maken, waardoor de kleineren nog extra veel minder overlevingsmogelijkheden hebben.
Dus we moeten het veiliger maken van software voorkomen om de concurrentiepositie van kleine bedrijven niet aan te tasten?
Is dat wat je dacht dat ik zei? Vreemde conclusie.

Ik heb liever dat er wordt gezocht naar een manier van bugs-vinden-belonen die minder afhankelijk is van het kapitaal van de maker.

[Reactie gewijzigd door Zynth op 22 december 2019 13:17]

Ik vermoed dat de meeste van ons rekeningen te betalen hebben die we niet kunnen voldoen met 'bugsolvingprestige'. Net zoals dat we het eigenlijk heel leuk vinden om de wereld vooruit te helpen met open source software houd het ergens toch echt op met het doneren (van onze tijd en geld) . Zeker als het niet open source/non profit is die we helpen maar gewoon een commerciëel bedrijf waar ik ook gewoon kan solliciteren voor een baan met bijbehorend salaris.

Ik begrijp het sentiment, maargoed als jij nou een programma opzet om een betere bugfindersreward te vinden zijn er vast bedrijven die miljoenen aan rewards willen neertellen voor die top oplossing die zorgt voor gratis arbeiders.

Of vind je dat het andermans kapitaal hoort te zijn dan die van de maker en dienst klanten? Dat gebeurt al hier en daar, grote bedrijven die betalen voor bug rewards in andermans software. (doorgaans open source software die zo dus gesponsord word door grote bedrijven). Subsidies van overheden zodat kleine bedrijven geen belastingen hoeven betalen voor werknemers? Die zijn te druk bezig grotere ontwikkelaars 10x de beoogde begroting te betalen voor de eigen overheid software/projecten.

Je doet het klinken alsof Google Microsoft en apple samen een oligopolie hebben op veilige software trouwens :p ik vermoed dat gemiddeld kwalitatief goede 'kleine ontwikkelaar' niet noemenswaardig minder veilige software maakt en waarschijnlijk zelfs veiligere.

Ik heb het liefst gewoon een veilige telefoon. Het liefst fabrieksaf. Maar als er dan toch een kans bestaat dat er onveiligheden in zit dan vind ik het fijn dat vinders daarvoor betaald krijgen door grote bedrijven ipv door grote criminelen of overheidsdiensten uit op kraken en afluisteren. Een bug in android treft nou eenmaal veel meer mensen dan een bug in 'wij maken software voor tandartsen' bedrijfje (die vanwege de niche wss nog eens een aardige marge heeft)

[Reactie gewijzigd door TWeaKLeGeND op 23 december 2019 03:45]

Ik zag dat Huawei ook een bug bounty programma is gestart met Zerocopter.
Laat ze eerst maar eens punctueler worden met het uitbrengen van security updates en, in mindere mate, Android updates! Mijn OP6 loopt nog steeds op de patch van augustus 2019! Dat gaat helemaal in tegen hun statements dat ze elke 1-2 maand een security update uitbrengen voor minimaal (geloof ik) 2 jaar.
Je kunt natuurlijk ook de beta-software draaien. Doe dit al sinds ik de telefoon heb (1 jaar, 1 maand nu). Nooit tegen bugs aangelopen.

Afgelopen week de patch voor november binnengekregen.
Mijn OP6 loopt op de patch van november 2019. Tot zover komen ze naar mijn mening hun statement gewoon na.
Ik heb hem al een tijdje binnen via de Oxygen updater app?
Ik ook :). 10.0.1 draai ik al een tijdje. Soms moet ik een reboot doen omdat ik dan bij alles een "has stopped working" melding krijg.
Is de update via oxygen een stabiele versie? Ik zie in de uitleg veel meer verbeterpunten staan dan in het originele statement van OP. Of is het een aangepaste versie van het Oxygen team? In het verleden liep Oxygen een paar dagen voor op het origineel, nu krijg ik via OP zelf nog steeds geen update naar 10, terwijl Oxygen deze al ruim 6 weken aanbiedt
10.3.0 kwam voor mij gisteren binnen en lijkt deze stsbiele versie. Heb daarvoor ook weinig problemen gehad. Succes!
Via Oxygen? Iig thxs voor je reactie! ;)
Via de Oxygen updater app Idd, geen probleem!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True