Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft keerde afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uit

Microsoft heeft in het afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uitgekeerd. Dat is meer dan drie keer zoveel als in het jaar ervoor. De groei in beloningen is mede te danken aan nieuwe programma's, een onderzoeksbeurs en de coronapandemie.

In totaal deelde Microsoft in de periode van juli 2019 tot juli 2020 13,7 miljoen dollar uit aan beveiligingsonderzoekers, schrijft het bedrijf. Omgerekend is dat 11,6 miljoen euro. In 2018 ging het nog om slechts 4,4 miljoen dollar, of 3,7 miljoen euro. Dat bedrag werd verdeeld over 327 onderzoekers, die samen 1226 bugs rapporteerden via een van Microsofts vijftien bugbountyprogramma's.

Microsoft zegt dat de stijging van het aantal bounty's te danken is aan een aantal nieuwe programma's die het bedrijf in het leven riep. Zo kwamen er bugbountyprogramma's bij voor Azure, Edge en de Xbox. Het bedrijf gaf daarnaast ook een aantal onderzoeksbeurzen en -programma's vrij. Zo werd vorig jaar een leaderboard opgezet en kwam er een beurs vrij voor onderzoekers om naar Microsofts authenticatiemethodes te kijken.

Door Tijs Hofmans

Redacteur privacy & security

05-08-2020 • 09:44

38 Linkedin

Reacties (38)

Wijzig sortering
Wordt er ook vanuit Microsoft ook bijvoorbeeld lekken gedicht nadat iemand een fout heeft gevonden. Waaraan kan je dat zien dat er ook echt iets gedaan is.
Nee, ze laten ze open staan zodat iedereen ze kan gebruiken. Ze betalen graag voor niets.

De ingediende vulnerabilities worden gewoon gepatched natuurlijk. Dit soort programma's zijn er om de bugs te vinden, zodat ze gedicht kunnen worden. Onderdeel van de bugbountyprogramma's is dat ze de indiener ook op de hoogte houden van de status van fixen en dat er ook disclosed mag worden door de indiener na een bepaalde periode na de fix. (staat in de faq... had je zelf op kunnen zoeken)

[Reactie gewijzigd door fapkonijntje op 5 augustus 2020 09:56]

Maar hoe moet ik dat zien.

Wordt de gene getoond die het heeft gevonden en wordt daar achter (opgelost) gezet of wat. Gratis is het niet nee. Maar dit zou toch gewoon makkelijk terug te vinden moeten zijn.

Probleem - gevonden door - gepatched ergens in een lijstm
Het gaat er voor deze mensen niet om dat ze "roem" krijgen als hun namen bij patchnotes staan. Ze bieden een bepaalde dienst aan waarvoor ze betaald worden als ze iets hebben gevonden. Mochten ze wel iets in de publiciteit willen zoeken dan kunnen ze dat doen op hun eigen website/blog als het probleem gepatched is.
Microsoft heeft daarvoor het MSRC. Onderzoekers dienen meestal gewoon een CVE in en als Microsoft daar niets mee zou doen, zouden ze zelf snel genoeg in de problemen komen.

En daarnaast kan je van alles terug vinden in patch notes die zij uitbrengen voor hun producten. Denk ook aan de 'security hotfixes' die je wellicht wel eens terug ziet binnen Windows update, om maar een voorbeeld te noemen.

[Reactie gewijzigd door hmmmmmmmmmpffff op 5 augustus 2020 10:55]

Waaraan kan je dat zien dat er ook echt iets gedaan is.
Het maandelijks update-circus?
Dure hobby van 11,5 miljoen als je er verder niks mee doet.
Het gaat over gerapporteerde bugs dus dat kan van alles zijn en hoeft niet per definitie een lek te zijn.
Lijkt me niet iets om trots op te zijn. Of opereren we vanuit de gedachte dat alle software inherent fouten bevat en dat ze nu in ieder geval gevonden zijn en dat het daarom juist wel goed is?

Wel geinig, dit bericht en dat van gisteren over OSS security.
Lijkt me niet iets om trots op te zijn. Of opereren we vanuit de gedachte dat alle software inherent fouten bevat en dat ze nu in ieder geval gevonden zijn en dat het daarom juist wel goed is?
Ja we opereren sowieso in de gedachte dat alle software fouten bevat, zelfs software die wiskundig bewezen is kan fout zijn bij verkeerde aannames hoe iets moet werken.

Natuurlijk is het niet iets om trots te zijn op een hoog bedrag, maar het is wel iets om transparant over te zijn. Het geeft ieder geval aan dat ze het serieus nemen.
Voor Microsoft Windows en Microsoft Azure (flink wat marketshare) is een hoog bedrag zeker iets op trots op te zijn. Dit laat zien dat er veel onderzoekers bezig zijn met ethisch hacken. Zodra je als onderzoeker op de zwarte markt makkelijker en meer uitbetaald kunt krijgen krijg je vulnerabilities die eerst exploited worden door kwaadwillende voordat Microsoft op de hoogte wordt gesteld.
We bedoelen ongeveer hetzelfde, maar een hoog totaalbedrag is niet perse positief, want dat kan ook aangeven dat er veel bugs zijn. Het is natuurlijk wel positief dat MS een hoog bedrag per bug uitkeert, want dat zorgt inderdaad dat het interessant is om een bug te melden, en om er onderzoek naar te doen.

Over de lange termijn hoop je natuurlijk wel dat het aantal bugs per line of code ( of weet ik veel wat voor metric je voor kwaliteit wil hanteren ) daalt.

Maar voor MS is het inderdaad zeker positief dat er goed gebruik gemaakt wordt van het programma, want daar is het natuurlijk juist voor bedoeld. Het is ook geen schande dat er bugs gevonden worden, want zoals gezegd zitten die in alle software.
Als je geen cijfers hebt over andere bugbounty programma's, kan je natuurlijk geen inschatting maken of 11 miljoen nu veel is of niet.
Ja, alle software heeft inherent fouten en dat is ook de juiste mindset om te hebben als developer en consument.

Het is een kwestie van tijd voor ze gevonden worden en een goed bug bounty programma helpt daarbij. 11 miljoen lijkt veel, maar gezien de omvang van hun producten valt het reuze mee. Het zal een relatief kleine kostenpost zijn binnen het security budget.
Of opereren we vanuit de gedachte dat alle software inherent fouten bevat
Inderdaad. Alle software bevat fouten.
Microsoft is vooral trots op de onderzoekers die hun helpen de producten veiliger te maken. Dat kun je ook zien in het meegestuurde artikel hier. En het is natuurlijk aansporen om andere onderzoekers mee te laten doen.
Denken dat je software geen fouten zal bevatten lijkt me pas schadelijk, alle software bevat simpelweg fouten. Dit negeren maakt je pas echt problematisch.
Bij alles moet je ervan uitgaan dat er fouten in zitten of dat zaken anders gaan dan gepland of gehoopt. Of dat nu software, hardware, processen, menselijk gedrag of wat anders is. Vervolgens maak je een plan hoe je de impact van fouten kunt minimaliseren. Voor SW fouten is zo'n bug bounty programma een optie om de impact van bugs te verminderen. Je kunt het ook niet doen en wachten totdat het fout gaat maar dan is de impact veel groter.
Veel software is nooit af. Zelfs als je als ontwikkelbedrijf je best doet om er geen fouten in te laten bestaan zijn die door de complexiteit van code en gebruik nauwelijks te voorkomen. Microsoft lijkt veel geld uit te geven aan softwareontwikkeling, ook om achteraf zelf ontdekte fouten te herstellen. Er valt moeilijk te beoordelen wat dit bedrag van de bugbountybeloningen voor stelt op het totale budget van kwaliteitverbetering en hoeveel problemen voor klanten ze daarmee al voorkomen. Waarschijnlijk is een professioneel bedrijf dat maandelijks updates uit geeft zodat de klanten kunnen voorzien van verbeteringen niet trots op het bestaan van beveiligingsfouten maar wel trots dat als er dan alsnog door klanten en researchers die fouten worden gevonden ze die vaak veilig kunnen verhelpen.
Goed dat ze deze info delen, transparant is iets wat MS zeker probeert te zijn op alle vlakken.
Goed initiatief. Maar de term Bug Bounty Program dekt toch niet helemaal de lading. Het gaat alleen om kwetsbaarheden, waarbij je de vraag kunt stellen: is dit een bug of is dit by design?
Als iets ervaren wordt als een bug en het is "by design", dan is het een bug in het design. Simpel zat.
Als iets ervaren wordt als een bug en het is "by design"....
Nou..... ken je de term It's not a bug, it's a feature!? :)
Ja, en die wordt misbruikt door MS haters voor bugs die wel echt bugs zijn.
Dat wordt uitgelegd in de begeleidende documentatie waar ze naar op zoek zijn. https://www.microsoft.com/en-us/msrc/bounty Het gaat dus duidelijk niet om UX of dergelijke zaken maar om 'kwetsbaarheden' die anders uitpakken dan bedoeld en dus misschien wel door de opzet/design, maar niet als bedoeld resultaat van die opzet.
Misschien beter ergens niet op te reageren als je er kennelijk totaal geen verstand van hebt.
Beetje kinderachtig, vind je zelf ook niet?
Als het terecht is ja.

Dus Adobe, Ubisoft, en Google mag je belachelijk maken.
Nee hoor, elk instituut/bedrijf is fair game.
Boomer? Hahaha, clutch them pearls son!
Hoe zouden andere partijen dit oppakken en is er publiekelijk zichtbaar wanneer/waar/wanneer de fixes er zijn?

[Reactie gewijzigd door fapkonijntje op 5 augustus 2020 09:55]

Voor hun opensource projecten ja. Maar waar staan de Windows bugs?
Jammer dat in 2016 het Xbox platform en dan specifiek het account beheer gedeelte niet onder een bugbounty program viel. Heb in dat jaar nog een lek gevonden waardoor ik middels het ophogen van een ID de facturen van willekeurige klanten kon downloaden }>. Microsoft had dat gelukkig wel snel aangepast. Als beloning kreeg ik alleen een vermelding op een pagina als "Security Researcher". Een vergoeding was toch wel leuker geweest O-)
Er zit ook een bug in de tekst of betreft dit een nieuw soort valuta ?
8)7
In totaal deelde Microsoft in de periode van juli 2019 tot juli 2020 13,7 miljoen dollar euro uit aan beveiligingsonderzoekers,

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True