Facebook deelde afgelopen jaar 1,67 miljoen euro uit aan bugbountybeloningen

Facebook heeft in het afgelopen jaar twee miljoen dollar aan beloningen uitgekeerd aan hackers die beveiligingslekken hebben gevonden. In 2020 kreeg het bedrijf 17.000 meldingen. Bij 1000 daarvan werd een beloning uitgekeerd.

Dat zegt Facebook nu het bugbountyprogramma bijna tien jaar bestaat. Het bedrijf opende in 2011 een responsible-disclosureprogramma waar hackers beveiligingslekken konden aandragen. Sinds het opzetten ervan hebben zich meer dan 50.000 onderzoekers bij het programma aangesloten. In het decennium zijn er 130.000 bugbountydisclosures gedaan, waarvan er voor 6900 een beloning is uitgekeerd. Die gingen naar 1500 onderzoekers. De meeste bugs die dit jaar zijn aangeleverd, kwamen van onderzoekers uit India, Tunesië en de Verenigde Staten.

In het afgelopen jaar werden er 17.000 meldingen gedaan, waarvan er bij 1000 een beloning werd uitgekeerd. Die waren in totaal 1,98 miljoen dollar of 1,67 miljoen euro waard. Een daarvan was een bug in het Content Delivery Network. Hacker Selamet Hariyanto vond daarin een exploit waarbij verlopen url's alsnog te achterhalen waren. Hoewel het lek zelf een lage impact had volgens het bugbountyprogramma, ontdekten Facebooks eigen onderzoekers later een manier om die exploit uit te buiten voor een remote code execution. Daarom kreeg de hacker betaald alsof het een bug met een hoge impact was. Hij kreeg 80.000 dollar aan beloning, wat volgens Facebook het hoogste bedrag is dat tot nu toe werd uitgekeerd.

Een andere bug kwam van een onderzoeker van Googles Project Zero. Zij ontdekte een lek in de Berichten-app voor Android waarbij een aanvaller de audio van Messenger kon afluisteren. Daarvoor kreeg de onderzoeker een beloning van 60.000 dollar.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-11-2020 10:2113

20-11-2020 • 10:21

13 Linkedin

Lees meer

Facebook dicht lek waarmee accounts overgenomen konden worden Nieuws van 3 september 2021
Facebook beperkt functies in Messenger-api's in Europa wegens privacywetgeving Nieuws van 5 december 2020
Minister wil bugbountyprogramma opzetten voor Nederlandse corona-app Nieuws van 15 oktober 2020
Google betaalde 5,9 miljoen euro aan bugbounty's in 2019 Nieuws van 29 januari 2020
OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar Nieuws van 20 december 2019
Meer producten en artikelen
Beveiliging en antivirus Bugs Facebook

Reacties (13)

-Moderatie-faq
13
13
11
4
1
1
Wijzig sortering
Robbierut4
20 november 2020 10:43
Top systeem. Ik ben zelf een paar jaar geleden toevallig op een bug gestuit, was wel even gedoe voordat Facebook mij serieus nam en het opgelost heeft, maar contact was redelijk oke. Uitbetaling ging ook soepel.

Voor de geïnteresseerden, je kon blijkbaar het beheerdersaccount van een pagina taggen zonder dat je wist wie het was. Als de pagina had gereageerd op een comment en jij reageerde daar weer op dan werd in plaats van de pagina de beheerder getagged.
In veel gevallen niet zo'n groot probleem, maar bij pagina's als mensenrechten activisten of andere pagina's die liever niet onder hun eigen naam publiceren is het een vrij groot probleem.
Uiteindelijk $7500 gekregen van facebook hiervoor, moest daarvoor de bug weten te reproduceren en alles documenteren. Daarna namen ze het serieus en was het binnen 3 weken opgelost.
Deido
@Robbierut420 november 2020 11:20
Wow, das een grote beloning voor iets waar een pagina beheerder vrij makkelijk achter zou kunnen komen.
Lijkt niet dat je hier erg hard naar op zoek moet. Mooi meegenomen 7500$ :)
Robbierut4
@Deido20 november 2020 12:28
Ik was ook erg verbaasd over het bedrag om eerlijk te zijn. Maar blijkbaar ging het niet vaak mis, anders was het al wel eerder gemeld.
Uiteindelijk nadat het gefixt was kreeg ik een berichtje dat ze zouden nadenken of ik een beloning kreeg of niet en hoeveel dan. Dus dacht, zal wel niet, of het absolute minimum. Maar schrok wel even toen ik het zag.
chielsen
20 november 2020 11:30
Is natuurlijk een schijntje als je hiermee "gratis" security checks krijgt, gratis PR en mooi tech talent kan scouten. Als je deze kosten afzet tegen de omzet / winst en hoe afhankelijk ze van techniek zijn is het echt helemaal peanuts.
miyapow156
@chielsen20 november 2020 16:27
99% van de hunters krijgt een wortel voorgehouden omdat ze de tweets zien van de 1% die opscheppen over hun payouts.
Zeror
20 november 2020 10:29
Is alleen maar goed dat er zo'n bugbounty systeem is. Je moedigt mensen, met technische kennis, aan om jouw systeem te verbeteren en je beloond ze daarvoor. Facebook is een systeem met enorme hoeveelheid aan gevoelige informatie en die informatie moet kosten wat het kost beschermd worden natuurlijk.

[Reactie gewijzigd door Zeror op 20 november 2020 10:30]

Luchtbakker
@Zeror20 november 2020 10:37
Is alleen maar goed dat er zo'n bugbounty systeem is. Je moedigt mensen, met technische kennis, aan om jouw systeem te verbeteren en je beloond ze daarvoor.
Ben ik op zich met je eens. Maar als de hoogste beloning 80.000 dollar is geweest moet je je afvragen hoe serieus Facebook dit programma neemt.

Als een lek op de zwarte markt meer oplevert dan wat Facebook uitkeert dan schiet het zijn doel voorbij naar mijn idee.
Douweegbertje
@Luchtbakker20 november 2020 13:43
Ten eerste hoef je niets te doen en kan je prima ander werk uitvoeren/zoeken. Daarnaast is er tenminste een programma waarin je je mag bewegen. Dat ten opzichte van jaren geleden waar je eerder juridisch gezeik kreeg voor je goede bedoelingen. Als laatste vind ik die vergelijking van "ja maar zwarte markt, easy money" zo ontzettend kul.
Sterker nog, zo'n zwarte markt verdiend geen drol als je het goed uitrekent in vergelijking met facebook:

- Je hebt kans om gepakt te worden. Dan zijn niet alleen je inkomsten weg, maar die in de toekomst ook.
- Je hebt geen schoon geld
- Je hebt een risico voor je toekomst.

Dus wil dat het waard zijn dan moet die 80.000 bij facebook wel zeker 1 a 2 miljoen zijn op de zwarte markt wilt dat logisch gezien de moeite zijn om voor die richting te kiezen. Laat je dat nou daar er ook niet voor krijgen.

Ik heb zelf nu ook ervaring met bounty programs.
- Het is laagdrempelig
- Je kan je vrij bewegen en zelf keuzes maken voor welk programma je iets doet. Eventueel op basis van "faam" vs "geld" vs "ik vind dat een leuke club".
- Het is legaal
- Je krijgt prima betaald met de juiste keuzes & skillset.

Voor mij persoonlijk is het niet iets wat ik als vak wil doen, maar het heeft mij de benodigde zakcentjes opgeleverd. Honderden tot soms duizenden euro's verdienen als hobby.. prima. :Y)
Galinsky
@Luchtbakker20 november 2020 10:44
Hangt af van de inhoud van de bug.
Zeror
@Galinsky20 november 2020 12:13
En de impact van de bug.
solideagle200
@Luchtbakker20 november 2020 10:42
Dan moet je wel meerekenen dat 80.000 "schone" dollars en een schoon geweten niet 1:1 om te rekenen zijn naar 80.000 zwarte dollars natuurlijk.
Byron010
@Luchtbakker20 november 2020 10:52
Dan moet je in dit geval ook rekening houden dat het een "basis" exploit was waarbij hun eigen onderzoekers het zo ver gekregen hebben om een RCE (remote code execution) van te maken. Ze hadden hem veel minder kunnen geven voor het gedeelte wat hij gereport heeft, maar omdat ze zelf inzagen dat je er meer mee kon hebben ze hem toch 80.000 beloond. Dat vind ik dan wel weer heel netjes van FB.
Botmeister
@Zeror20 november 2020 10:51
Eens hoor, goed systeem! Alleen voelt het bij mij een beetje ironisch om een bedrijf als Facebook te prijzen voor zijn bescherming van gevoelige informatie. Ik zie het liever als een code cleanup die je als externe kunt oplossen (lekker cheap want vaste dienst is veel duurder). Zodat ze daarna met juiste code zelf kunnen bepalen wie/welke gevoelige data krijgt, want daar leven ze van.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee