Microsoft keerde afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uit

Microsoft heeft in het afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uitgekeerd. Dat is meer dan drie keer zoveel als in het jaar ervoor. De groei in beloningen is mede te danken aan nieuwe programma's, een onderzoeksbeurs en de coronapandemie.

In totaal deelde Microsoft in de periode van juli 2019 tot juli 2020 13,7 miljoen dollar uit aan beveiligingsonderzoekers, schrijft het bedrijf. Omgerekend is dat 11,6 miljoen euro. In 2018 ging het nog om slechts 4,4 miljoen dollar, of 3,7 miljoen euro. Dat bedrag werd verdeeld over 327 onderzoekers, die samen 1226 bugs rapporteerden via een van Microsofts vijftien bugbountyprogramma's.

Microsoft zegt dat de stijging van het aantal bounty's te danken is aan een aantal nieuwe programma's die het bedrijf in het leven riep. Zo kwamen er bugbountyprogramma's bij voor Azure, Edge en de Xbox. Het bedrijf gaf daarnaast ook een aantal onderzoeksbeurzen en -programma's vrij. Zo werd vorig jaar een leaderboard opgezet en kwam er een beurs vrij voor onderzoekers om naar Microsofts authenticatiemethodes te kijken.

Microsoft Bugbounty

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-08-2020 09:44 38

05-08-2020 • 09:44

38

Lees meer

Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit
Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit Nieuws van 9 juli 2021
Google betaalde 5,9 miljoen euro aan bugbounty's in 2019
Google betaalde 5,9 miljoen euro aan bugbounty's in 2019 Nieuws van 29 januari 2020
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen Nieuws van 30 augustus 2019
Microsoft breidt beloningsprogramma voor lekken uit naar authenticatiediensten
Microsoft breidt beloningsprogramma voor lekken uit naar authenticatiediensten Nieuws van 18 juli 2018
Meer producten en artikelen
Beveiliging en antivirus Microsoft Bugs

Reacties (38)

-Moderatie-faq
38
36
19
3
0
10
Wijzig sortering
theduke1989 5 augustus 2020 09:49
Wordt er ook vanuit Microsoft ook bijvoorbeeld lekken gedicht nadat iemand een fout heeft gevonden. Waaraan kan je dat zien dat er ook echt iets gedaan is.
fapkonijntje @theduke19895 augustus 2020 09:55
Nee, ze laten ze open staan zodat iedereen ze kan gebruiken. Ze betalen graag voor niets.

De ingediende vulnerabilities worden gewoon gepatched natuurlijk. Dit soort programma's zijn er om de bugs te vinden, zodat ze gedicht kunnen worden. Onderdeel van de bugbountyprogramma's is dat ze de indiener ook op de hoogte houden van de status van fixen en dat er ook disclosed mag worden door de indiener na een bepaalde periode na de fix. (staat in de faq... had je zelf op kunnen zoeken)

[Reactie gewijzigd door fapkonijntje op 23 juli 2024 22:33]

theduke1989 @fapkonijntje5 augustus 2020 14:20
Maar hoe moet ik dat zien.

Wordt de gene getoond die het heeft gevonden en wordt daar achter (opgelost) gezet of wat. Gratis is het niet nee. Maar dit zou toch gewoon makkelijk terug te vinden moeten zijn.

Probleem - gevonden door - gepatched ergens in een lijstm
masterwillems @theduke19895 augustus 2020 15:59
Het gaat er voor deze mensen niet om dat ze "roem" krijgen als hun namen bij patchnotes staan. Ze bieden een bepaalde dienst aan waarvoor ze betaald worden als ze iets hebben gevonden. Mochten ze wel iets in de publiciteit willen zoeken dan kunnen ze dat doen op hun eigen website/blog als het probleem gepatched is.
Anoniem: 316512 @theduke19895 augustus 2020 10:54
Microsoft heeft daarvoor het MSRC. Onderzoekers dienen meestal gewoon een CVE in en als Microsoft daar niets mee zou doen, zouden ze zelf snel genoeg in de problemen komen.

En daarnaast kan je van alles terug vinden in patch notes die zij uitbrengen voor hun producten. Denk ook aan de 'security hotfixes' die je wellicht wel eens terug ziet binnen Windows update, om maar een voorbeeld te noemen.

[Reactie gewijzigd door Anoniem: 316512 op 23 juli 2024 22:33]

Simon Weel @theduke19895 augustus 2020 09:51
Waaraan kan je dat zien dat er ook echt iets gedaan is.
Het maandelijks update-circus?
fruitbakje @theduke19895 augustus 2020 09:56
Dure hobby van 11,5 miljoen als je er verder niks mee doet.
POL_1953 @theduke19895 augustus 2020 18:28
Het gaat over gerapporteerde bugs dus dat kan van alles zijn en hoeft niet per definitie een lek te zijn.
Sandor_Clegane 5 augustus 2020 10:03
Lijkt me niet iets om trots op te zijn. Of opereren we vanuit de gedachte dat alle software inherent fouten bevat en dat ze nu in ieder geval gevonden zijn en dat het daarom juist wel goed is?

Wel geinig, dit bericht en dat van gisteren over OSS security.
Woy Moderator PRG/SEA @Sandor_Clegane5 augustus 2020 10:16
Lijkt me niet iets om trots op te zijn. Of opereren we vanuit de gedachte dat alle software inherent fouten bevat en dat ze nu in ieder geval gevonden zijn en dat het daarom juist wel goed is?
Ja we opereren sowieso in de gedachte dat alle software fouten bevat, zelfs software die wiskundig bewezen is kan fout zijn bij verkeerde aannames hoe iets moet werken.

Natuurlijk is het niet iets om trots te zijn op een hoog bedrag, maar het is wel iets om transparant over te zijn. Het geeft ieder geval aan dat ze het serieus nemen.
PerAspera @Woy5 augustus 2020 12:12
Voor Microsoft Windows en Microsoft Azure (flink wat marketshare) is een hoog bedrag zeker iets op trots op te zijn. Dit laat zien dat er veel onderzoekers bezig zijn met ethisch hacken. Zodra je als onderzoeker op de zwarte markt makkelijker en meer uitbetaald kunt krijgen krijg je vulnerabilities die eerst exploited worden door kwaadwillende voordat Microsoft op de hoogte wordt gesteld.
Woy Moderator PRG/SEA @PerAspera5 augustus 2020 13:50
We bedoelen ongeveer hetzelfde, maar een hoog totaalbedrag is niet perse positief, want dat kan ook aangeven dat er veel bugs zijn. Het is natuurlijk wel positief dat MS een hoog bedrag per bug uitkeert, want dat zorgt inderdaad dat het interessant is om een bug te melden, en om er onderzoek naar te doen.

Over de lange termijn hoop je natuurlijk wel dat het aantal bugs per line of code ( of weet ik veel wat voor metric je voor kwaliteit wil hanteren ) daalt.

Maar voor MS is het inderdaad zeker positief dat er goed gebruik gemaakt wordt van het programma, want daar is het natuurlijk juist voor bedoeld. Het is ook geen schande dat er bugs gevonden worden, want zoals gezegd zitten die in alle software.
Kenhas @Sandor_Clegane5 augustus 2020 10:15
Als je geen cijfers hebt over andere bugbounty programma's, kan je natuurlijk geen inschatting maken of 11 miljoen nu veel is of niet.
AJediIAm @Sandor_Clegane5 augustus 2020 10:16
Ja, alle software heeft inherent fouten en dat is ook de juiste mindset om te hebben als developer en consument.

Het is een kwestie van tijd voor ze gevonden worden en een goed bug bounty programma helpt daarbij. 11 miljoen lijkt veel, maar gezien de omvang van hun producten valt het reuze mee. Het zal een relatief kleine kostenpost zijn binnen het security budget.
_Thanatos_ @Sandor_Clegane5 augustus 2020 10:22
Of opereren we vanuit de gedachte dat alle software inherent fouten bevat
Inderdaad. Alle software bevat fouten.
Anoniem: 316512 @Sandor_Clegane5 augustus 2020 11:00
Microsoft is vooral trots op de onderzoekers die hun helpen de producten veiliger te maken. Dat kun je ook zien in het meegestuurde artikel hier. En het is natuurlijk aansporen om andere onderzoekers mee te laten doen.
Bender @Sandor_Clegane5 augustus 2020 12:36
Denken dat je software geen fouten zal bevatten lijkt me pas schadelijk, alle software bevat simpelweg fouten. Dit negeren maakt je pas echt problematisch.
K-aroq @Sandor_Clegane5 augustus 2020 10:51
Bij alles moet je ervan uitgaan dat er fouten in zitten of dat zaken anders gaan dan gepland of gehoopt. Of dat nu software, hardware, processen, menselijk gedrag of wat anders is. Vervolgens maak je een plan hoe je de impact van fouten kunt minimaliseren. Voor SW fouten is zo'n bug bounty programma een optie om de impact van bugs te verminderen. Je kunt het ook niet doen en wachten totdat het fout gaat maar dan is de impact veel groter.
kodak
@Sandor_Clegane5 augustus 2020 12:11
Veel software is nooit af. Zelfs als je als ontwikkelbedrijf je best doet om er geen fouten in te laten bestaan zijn die door de complexiteit van code en gebruik nauwelijks te voorkomen. Microsoft lijkt veel geld uit te geven aan softwareontwikkeling, ook om achteraf zelf ontdekte fouten te herstellen. Er valt moeilijk te beoordelen wat dit bedrag van de bugbountybeloningen voor stelt op het totale budget van kwaliteitverbetering en hoeveel problemen voor klanten ze daarmee al voorkomen. Waarschijnlijk is een professioneel bedrijf dat maandelijks updates uit geeft zodat de klanten kunnen voorzien van verbeteringen niet trots op het bestaan van beveiligingsfouten maar wel trots dat als er dan alsnog door klanten en researchers die fouten worden gevonden ze die vaak veilig kunnen verhelpen.
minid 5 augustus 2020 14:25
Goed dat ze deze info delen, transparant is iets wat MS zeker probeert te zijn op alle vlakken.
Simon Weel 5 augustus 2020 09:55
Goed initiatief. Maar de term Bug Bounty Program dekt toch niet helemaal de lading. Het gaat alleen om kwetsbaarheden, waarbij je de vraag kunt stellen: is dit een bug of is dit by design?
_Thanatos_ @Simon Weel5 augustus 2020 10:19
Als iets ervaren wordt als een bug en het is "by design", dan is het een bug in het design. Simpel zat.
Simon Weel @_Thanatos_5 augustus 2020 10:50
Als iets ervaren wordt als een bug en het is "by design"....
Nou..... ken je de term It's not a bug, it's a feature!? :)
_Thanatos_ @Simon Weel5 augustus 2020 20:13
Ja, en die wordt misbruikt door MS haters voor bugs die wel echt bugs zijn.
Risce @Simon Weel5 augustus 2020 10:24
Dat wordt uitgelegd in de begeleidende documentatie waar ze naar op zoek zijn. https://www.microsoft.com/en-us/msrc/bounty Het gaat dus duidelijk niet om UX of dergelijke zaken maar om 'kwetsbaarheden' die anders uitpakken dan bedoeld en dus misschien wel door de opzet/design, maar niet als bedoeld resultaat van die opzet.
mcmlx @SambalSamurai6 augustus 2020 09:32
Misschien beter ergens niet op te reageren als je er kennelijk totaal geen verstand van hebt.
_Thanatos_ @SambalSamurai5 augustus 2020 10:21
Beetje kinderachtig, vind je zelf ook niet?
_Thanatos_ @Sandor_Clegane5 augustus 2020 20:15
Als het terecht is ja.

Dus Adobe, Ubisoft, en Google mag je belachelijk maken.
Sandor_Clegane @_Thanatos_6 augustus 2020 00:04
Nee hoor, elk instituut/bedrijf is fair game.
_Thanatos_ @Sandor_Clegane6 augustus 2020 10:08
Ok boomer.
Sandor_Clegane @_Thanatos_6 augustus 2020 19:57
Boomer? Hahaha, clutch them pearls son!
fapkonijntje 5 augustus 2020 09:54
Hoe zouden andere partijen dit oppakken en is er publiekelijk zichtbaar wanneer/waar/wanneer de fixes er zijn?

[Reactie gewijzigd door fapkonijntje op 23 juli 2024 22:33]

Sandor_Clegane @fapkonijntje5 augustus 2020 09:57
Github issues?
_Thanatos_ @Sandor_Clegane5 augustus 2020 10:19
Voor hun opensource projecten ja. Maar waar staan de Windows bugs?
oezie 5 augustus 2020 12:37
Jammer dat in 2016 het Xbox platform en dan specifiek het account beheer gedeelte niet onder een bugbounty program viel. Heb in dat jaar nog een lek gevonden waardoor ik middels het ophogen van een ID de facturen van willekeurige klanten kon downloaden }>. Microsoft had dat gelukkig wel snel aangepast. Als beloning kreeg ik alleen een vermelding op een pagina als "Security Researcher". Een vergoeding was toch wel leuker geweest O-)
richka 5 augustus 2020 12:40
Er zit ook een bug in de tekst of betreft dit een nieuw soort valuta ?
8)7
In totaal deelde Microsoft in de periode van juli 2019 tot juli 2020 13,7 miljoen dollar euro uit aan beveiligingsonderzoekers,

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq