Microsoft start Xbox-bugbountyprogramma met beloningen tot 20.000 dollar

Microsoft is een bugbountyprogramma gestart om ontdekkers van kwetsbaarheden in het Xbox Live-netwerk en andere Xbox-diensten te belonen. Meldingen die aan de voorwaarden voldoen, leveren tot maximaal 20.000 dollar op.

Het maximale bedrag wordt uitgekeerd voor het vinden van een kwetsbaarheid die remote code execution mogelijk maakt. Vinders moeten daarbij een proof of concept kunnen laten zien en het probleem duidelijk documenteren. Een overzicht van alle beloningen en vereisten staat op Microsofts bugbountysite.

De beloning van 20.000 dollar is gelijk aan het maximale bedrag dat Microsoft uitkeert voort het vinden van ernstige beveiligingslekken in Office en andere applicaties. Microsoft heeft diverse andere bugbountyprogramma's die al langer lopen en meer op kunnen leveren. Het vinden van een ernstige kwetsbaarheid in Azure levert tot 300.000 dollar op.

Sony heeft een geen specifiek bugbountyprogramma voor zijn consoles, maar is wel aangesloten bij HackerOne. Onderzoekers kunnen daar kwetsbaarheden in producten en sites van het bedrijf melden, maar krijgen daar geen geld voor. Sony beloont onderzoekers met een '+1' op hun profiel en met een t-shirt. Ook Nintendo is op HackerOne aanwezig. Het Japanse bedrijf vraagt daar specifiek om meldingen over kwetsbaarheden in zijn Switch- en 3DS-consoles en looft tot 20.000 dollar uit.

Xbox One X

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 31-01-2020 10:00
18 • submitter: TheVivaldi

31-01-2020 • 10:00

18

Submitter: TheVivaldi

Lees meer

Microsoft Xbox One S

vanaf € 399,90

4 van 5 sterren

Alles over dit product

Microsoft Xbox One X

vanaf € 499,99

4.5 van 5 sterren

Alles over dit product

Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar
Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar Nieuws van 25 juni 2020
Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver
Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver Nieuws van 9 februari 2020
Google betaalde 5,9 miljoen euro aan bugbounty's in 2019
Google betaalde 5,9 miljoen euro aan bugbounty's in 2019 Nieuws van 29 januari 2020
OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar
OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar Nieuws van 20 december 2019
Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS
Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS Nieuws van 27 april 2018
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden Nieuws van 6 december 2016
Meer producten en artikelen
Networking en security Consoles Microsoft Xbox

Reacties (18)

-Moderatie-faq
18
17
8
3
0
6
Wijzig sortering
com2,1ghz 31 januari 2020 10:36
Die 20k is nogal karig. Denk dat ze dat bedrag wel mogen drievoudigen om het een beetje interessant te houden.
Weet je wat het wel niet kost om een externe partij hiervoor in te huren? Dan mag je er nog een nul achter zetten per jaar. En dan heb nog nog geen garantie dat er daadwerkelijk wat gevonden wordt. Nu keren ze blijkbaar maximaal 20k uit als er ook echt wat gevonden wordt. Een soort no cure no pay aan hun kant.
Jeroen73 @com2,1ghz31 januari 2020 11:04
Dit zijn bedragen die interessant zijn voor wie met wat rondneuzen toevallig wat tegenkomt, niet voor de professionele bugzoeker die alles uitpluist. Wellicht volgt een hogere premie als de meest voor de hand liggende fouten eruit zijn.
Luchtbakker @Jeroen7331 januari 2020 12:37
Dit zijn bedragen die interessant zijn voor wie met wat rondneuzen toevallig wat tegenkomt, niet voor de professionele bugzoeker die alles uitpluist. Wellicht volgt een hogere premie als de meest voor de hand liggende fouten eruit zijn.
Wie bedoel je hier dan mee? Voor beginnende hackers die op hun zolderkamer toch niks te doen hebben is dit een prachtige manier van goed geld verdienen. 20k (in het meest positieve geval) is een best hoog bedrag. Ik geloof best dat genoeg hackers zijn die daarvoor in aanmerking komen met hun ontdekkingen. Het is een snelle manier van legaal geld verdienen.

Ik moet toch echt een half jaartje werken voor die 20k hoor.... :P
Jeroen73 @Luchtbakker31 januari 2020 13:38
Dat is dus inderdaad precies wat ik bedoel: het heeft nu geen zin (en kost Microsoft teveel) om nog hogere bedragen te gaan betalen wanneer er al voldoende bugs tevoorschijn zullen gaan komen met de huidige bedragen door de eerste lichting met zolderkamerhackers in de avonduren :)
.oisyn Moderator Devschuur® @com2,1ghz31 januari 2020 10:58
Weet je wat het wel niet kost om een externe partij hiervoor in te huren
Dat is compleet irrelevant, want dat doen ze namelijk niet, en dergelijke mensen gaan niet zelf op zoek naar bugs. Waar dit bedrag mee moet kunnen competen is wat een dergelijke kwetsbaarheid oplevert op de zwarte markt. En dat is voor consoles natuurlijk een stuk lager omdat dat een voor aanvallers stuk minder interessant platform is.

[Reactie gewijzigd door .oisyn op 23 juli 2024 03:08]

harrytasker @com2,1ghz31 januari 2020 11:16
Ze kunnen je ook gewoon een t-shirt geven.... ;)

[Reactie gewijzigd door harrytasker op 23 juli 2024 03:08]

SinergyX
@com2,1ghz31 januari 2020 11:47
In 2014 hebben ze al aangegeven diverse externe partijen te laten zoeken naar bugs, daar wordt altijd al flink wat geld voor neergelegd, dit is een bonus voor iemand die toch al actief zoekt binnen Windows/Azure/MS, waar iets bv in Windows niet zou werken, maar mogelijk wel op de Xbox.

De core van Xbox blijft gewoon Windows 10, daarvanuit halen ze 90% van hun 'problemen' waar wel iets meer al voor te krijgen is, straks komt Azure nog wat actief op gang en die heeft z'n eigen hunt programma.
Ootje70 31 januari 2020 10:04
Bug- of kwetsbaarheden hunting? Niet elke bug is een kwetsbaarheid en andersom. Ik wil wel bugs tegen betaling doorgeven die voorkomen in het OS van de XBOX: easy money,

[Reactie gewijzigd door Ootje70 op 23 juli 2024 03:08]

WesleyB @Ootje7031 januari 2020 10:08
Ze geven zelf de volgende soorten kwetsbaarheden aan:

Remote Code Execution
  • Elevation of Privilege
  • Security Feature Bypass
  • Information Disclosure
  • Spoofing
  • Tampering
  • Denial of Service
Als voorbeeld geven ze:
  • Cross site scripting (XSS)
  • Cross site request forgery (CSRF)
  • Insecure direct object references
  • Insecure deserialization
  • Injection vulnerabilities
  • Server-side code execution
  • Significant security misconfiguration (when not caused by user)
  • Using a component with known vulnerabilities (when demonstrated with a working proof of concept)
418O2 @Ootje7031 januari 2020 10:06
Als je hun site zou bekijken dan zou je dit kunnen lezen
BounceMeister @Ootje7031 januari 2020 14:15
Precies wat ik dacht na het lezen van de titel! Er zijn nogal wat dingen die vaak niet werken, daar kan je dan snel (een beetje) rijk mee worden. Maar het blijkt alleen om security-problemen te gaan zoals WesleyB zegt.
Ootje70 31 januari 2020 10:06
Dat kan maar ik reageer op dit bericht op Tweakers :-) En daar gaat het over bugs terwijl het volgens mij over kwetsbaarheden gaat die óók het risico/gevolg van een bug kunnen zijn.

[Reactie gewijzigd door Ootje70 op 23 juli 2024 03:08]

AuteurXtuv @Ootje7031 januari 2020 10:26
Het gaat niet over bugs, maar over een bugbountyprogramma. Dat is nu eenmaal de naam die gegeven wordt aan dergelijke initiatieven om het melden van kwetsbaarheden te belonen. Zie ook Microsofts uitleg:

The goal of the bug bounty program is to uncover significant vulnerabilities that have a direct and demonstrable impact on the security of Microsoft’s customers.
Horatius @Ootje7031 januari 2020 10:23
Er staat een link naar de vereisten van Microsoft en ook een paar voorbeelden daaruit kan je wel afleiden dat het geen simpele user bugs zijn.

Als je dan ook nog even op zoekt wat een bug bounty program is staat er dat het meestal om veiligheids gerelateerde bugs gaat.

Oftewel, gebruik je verstand.
.oisyn Moderator Devschuur® @Ootje7031 januari 2020 11:00
En daar gaat het over bugs
Gek, de woorden "bug" of "bugs" komen in het hele artikel niet voor, behalve als onderdeel van "bugbountyprogramma", wat een specifieke betekenis heeft. Je geeft er dus vooral je eigen draai aan nu :)

[Reactie gewijzigd door .oisyn op 23 juli 2024 03:08]

Ootje70 @.oisyn31 januari 2020 12:10
Wat serieus allemaal, was een grappig bedoelde opmerking. Maar de -1's vliegen om mijn oren. Klopt dat ik er mijn draai aan gaf, vond het gewoon grappig dat het bugbountyprogram heet en niet vulnerability bountyprogram. En dat ik genoeg 'bugs' (user-bugs) kan melden... ik ben ook gewoon een gebruiker en geen ontwikkelaar of bug bountyhunter.
SinergyX
@shredder31 januari 2020 10:28
In 4 jaar tijd zijn er zover ik kan herinneren maar 4 bugs van zo'n niveau geweest, wat allemaal in insider/alpha ring was.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq