Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook deelde afgelopen jaar 1,67 miljoen euro uit aan bugbountybeloningen

Facebook heeft in het afgelopen jaar twee miljoen dollar aan beloningen uitgekeerd aan hackers die beveiligingslekken hebben gevonden. In 2020 kreeg het bedrijf 17.000 meldingen. Bij 1000 daarvan werd een beloning uitgekeerd.

Dat zegt Facebook nu het bugbountyprogramma bijna tien jaar bestaat. Het bedrijf opende in 2011 een responsible-disclosureprogramma waar hackers beveiligingslekken konden aandragen. Sinds het opzetten ervan hebben zich meer dan 50.000 onderzoekers bij het programma aangesloten. In het decennium zijn er 130.000 bugbountydisclosures gedaan, waarvan er voor 6900 een beloning is uitgekeerd. Die gingen naar 1500 onderzoekers. De meeste bugs die dit jaar zijn aangeleverd, kwamen van onderzoekers uit India, Tunesië en de Verenigde Staten.

In het afgelopen jaar werden er 17.000 meldingen gedaan, waarvan er bij 1000 een beloning werd uitgekeerd. Die waren in totaal 1,98 miljoen dollar of 1,67 miljoen euro waard. Een daarvan was een bug in het Content Delivery Network. Hacker Selamet Hariyanto vond daarin een exploit waarbij verlopen url's alsnog te achterhalen waren. Hoewel het lek zelf een lage impact had volgens het bugbountyprogramma, ontdekten Facebooks eigen onderzoekers later een manier om die exploit uit te buiten voor een remote code execution. Daarom kreeg de hacker betaald alsof het een bug met een hoge impact was. Hij kreeg 80.000 dollar aan beloning, wat volgens Facebook het hoogste bedrag is dat tot nu toe werd uitgekeerd.

Een andere bug kwam van een onderzoeker van Googles Project Zero. Zij ontdekte een lek in de Berichten-app voor Android waarbij een aanvaller de audio van Messenger kon afluisteren. Daarvoor kreeg de onderzoeker een beloning van 60.000 dollar.

Door Tijs Hofmans

Redacteur privacy & security

20-11-2020 • 10:21

13 Linkedin

Reacties (13)

Wijzig sortering
Top systeem. Ik ben zelf een paar jaar geleden toevallig op een bug gestuit, was wel even gedoe voordat Facebook mij serieus nam en het opgelost heeft, maar contact was redelijk oke. Uitbetaling ging ook soepel.

Voor de geïnteresseerden, je kon blijkbaar het beheerdersaccount van een pagina taggen zonder dat je wist wie het was. Als de pagina had gereageerd op een comment en jij reageerde daar weer op dan werd in plaats van de pagina de beheerder getagged.
In veel gevallen niet zo'n groot probleem, maar bij pagina's als mensenrechten activisten of andere pagina's die liever niet onder hun eigen naam publiceren is het een vrij groot probleem.
Uiteindelijk $7500 gekregen van facebook hiervoor, moest daarvoor de bug weten te reproduceren en alles documenteren. Daarna namen ze het serieus en was het binnen 3 weken opgelost.
Ik was ook erg verbaasd over het bedrag om eerlijk te zijn. Maar blijkbaar ging het niet vaak mis, anders was het al wel eerder gemeld.
Uiteindelijk nadat het gefixt was kreeg ik een berichtje dat ze zouden nadenken of ik een beloning kreeg of niet en hoeveel dan. Dus dacht, zal wel niet, of het absolute minimum. Maar schrok wel even toen ik het zag.
Is natuurlijk een schijntje als je hiermee "gratis" security checks krijgt, gratis PR en mooi tech talent kan scouten. Als je deze kosten afzet tegen de omzet / winst en hoe afhankelijk ze van techniek zijn is het echt helemaal peanuts.
Ten eerste hoef je niets te doen en kan je prima ander werk uitvoeren/zoeken. Daarnaast is er tenminste een programma waarin je je mag bewegen. Dat ten opzichte van jaren geleden waar je eerder juridisch gezeik kreeg voor je goede bedoelingen. Als laatste vind ik die vergelijking van "ja maar zwarte markt, easy money" zo ontzettend kul.
Sterker nog, zo'n zwarte markt verdiend geen drol als je het goed uitrekent in vergelijking met facebook:

- Je hebt kans om gepakt te worden. Dan zijn niet alleen je inkomsten weg, maar die in de toekomst ook.
- Je hebt geen schoon geld
- Je hebt een risico voor je toekomst.

Dus wil dat het waard zijn dan moet die 80.000 bij facebook wel zeker 1 a 2 miljoen zijn op de zwarte markt wilt dat logisch gezien de moeite zijn om voor die richting te kiezen. Laat je dat nou daar er ook niet voor krijgen.

Ik heb zelf nu ook ervaring met bounty programs.
- Het is laagdrempelig
- Je kan je vrij bewegen en zelf keuzes maken voor welk programma je iets doet. Eventueel op basis van "faam" vs "geld" vs "ik vind dat een leuke club".
- Het is legaal
- Je krijgt prima betaald met de juiste keuzes & skillset.

Voor mij persoonlijk is het niet iets wat ik als vak wil doen, maar het heeft mij de benodigde zakcentjes opgeleverd. Honderden tot soms duizenden euro's verdienen als hobby.. prima. :Y)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True